文章总结： ProScanKill是一款针对Windows系统的开源进程查杀工具，专注于应急响应场景下的恶意进程溯源与清理。该工具可处理任务管理器无法终止、杀毒软件绕过的顽固进程，通过全量注册表扫描识别计划任务、服务等持久化驻留威胁，并提供图形化界面支持一键清理防复活。文档以银狐病毒为例演示了其双进程关联分析和注册表痕迹清除能力，适用于远程运维等场景。 综合评分： 78 文章分类： 应急响应,安全工具,恶意软件,终端安全,安全运营

ProScanKill:Windows进程溯源与处置工具

原创

SharkJ0001 SharkJ0001

Neon-X Sec

2026年5月13日 16:43 河北

在小说阅读器读本章

去阅读

ProScanKill 是一款面向网络安全运维、应急响应、终端自查的 Windows 专属开源进程深度查杀工具。针对日常应急中任务管理器无法终止、杀毒软件免杀绕过、服务 / 计划任务 / 注册表持久化驻留的恶意进程、流氓软件、远控木马（如银狐、Golden 类木马残留），实现一键溯源、关联分析、全链路清理防复活。

工具的目的就是简化常规的操作，对重复性工作行为的总结，同时注册表的全量扫描能够深度检查相关的进程。

工具由 Python 开发，提供双图形化界面，兼顾老旧机器 / 服务器轻量化运行需求，源码开源可审计，如果需要支撑xp等更老的系统可以关注Github针对源码进行修改，替换main函数为gui_tkinter.py版本

切换到 PyQt6：def main(): from gui import ProScanKillMainWindow from PyQt6.QtWidgets import QApplication app = QApplication(sys.argv) window = ProScanKillMainWindow() window.show() sys.exit(app.exec())
切换到 Tkinter（兼容老旧系统）：def main(): from gui_tkinter import ProScanKillApp import tkinter as tk root = tk.Tk() app = ProScanKillApp(root) app.run()

PyQt6版本使用案例：

以银狐病毒为例，该病毒在主机上运行的第一时间办公网杀软卡巴斯基未能清理该病毒文件，上机排查后发现该病毒文件运行两个计划任务和两个进程，无法执行删除操作（删除其中一个，另一个会瞬间重建计划任务，手动清除难度高）

执行病毒文件之前，病毒创建的计划任务

病毒双进程，至于怎么确认进程，这种情况是通过网络连接定位pid后定位进程

进程文件位置

为检测全量注册表扫描是否生效创建的注册表位置

右键已经打包好的程序执行注册表全量扫描，不勾选的话会默认扫描常见的注册表位置，其中服务项扫描是根据注册表关联来实现的

测试环境为win10，扫描结果包含了该进程相关的痕迹，执行清理，由于注册表容易误删，同时避免误操作，做了勾选确认操作

清理完成后主机上进程相关的均已清除

同时最新版支持结果统计

清理完成后观察一段时间，未发现重启及外联。

上述情况仅仅是一个案例，其他场景中，能够快速扫描进程或者pid相关的计划任务和注册表内容，相对于无法远程上机，仅能远程指导操作的复杂运维场景能够起到一定作用。如果对工具有需求可以评论区交流，如果有Ai应急相关的项目或者思路也可以交流一下。

获取工具

后台回复0513

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Neon-X Sec SharkJ0001 SharkJ0001《ProScanKill:Windows进程溯源与处置工具》