問題描述

某日，朋友反映其電腦可能"中招"，癥狀顯示為任務(wù)管理器被禁用，系統(tǒng)緩慢，網(wǎng)絡(luò)資源占用嚴(yán)重，先后安裝數(shù)款殺毒軟件均未能殺出病毒，而且部分安全軟件不可用，除此之外并無其他異常情況。懷疑可能是中了最新的未知病毒了。

怎么辦?看來電腦中毒不輕，而且是遇到了新情況。看來只能死馬當(dāng)活馬醫(yī)，使出我的"神秘武器"試試了。說來我這個神秘武器并不神秘，那就是江民的KV2009，但是怎么用好這款殺毒利器，就需要你一步一步跟我往下看了。

實(shí)戰(zhàn)

首先，將朋友的電腦中殺毒軟件卸載，安裝了最新版本的KV2009。那么，我們應(yīng)該怎么樣去判斷他是否中了病毒呢?我們首先運(yùn)行一下江民的"進(jìn)程查看器"-(路徑：主界面—工具—常用工具—進(jìn)程查看器) 看看能不能發(fā)現(xiàn)什么未知的可疑程序。

果不其然，注意紅色箭頭指向的那兩個程序都是異常的。第一個正常的應(yīng)該是沒有exe擴(kuò)展名，第二個正常的那個程序不應(yīng)該在臨時文件夾。注意上面那個Rar.exe本身也是可疑的，將它們加入"黑名單"并結(jié)束其進(jìn)程防止它們再次啟動(由于這個病毒啟用了進(jìn)程守護(hù)，一定要一次將所有的可疑程序都結(jié)束，否則病毒程序會再次自動運(yùn)行，按住Ctrl鍵可以同時選擇多個進(jìn)程一并結(jié)束)。

然后我們運(yùn)行江民"未知病毒掃描"檢測一下(主界面—工具—安全工具—未知病毒檢測)。掃描下來，結(jié)果發(fā)現(xiàn)N個異常的動態(tài)鏈接庫文件：

我們將它們?nèi)考尤霕颖編欤瑨呙枰幌? (一定備份樣本庫)。

將可疑文件全部刪除，這里我們先不重啟。

 下面我們用江民的系統(tǒng)診斷來修復(fù)各個被破壞的系統(tǒng)項目，病毒修改了多處系統(tǒng)文件，我們需要選擇性修復(fù)！

1.進(jìn)程列表：

因?yàn)槲覀冎耙呀?jīng)結(jié)束了病毒進(jìn)程，同時加入到黑名單，現(xiàn)在看沒有可疑進(jìn)程。

2.啟動列表：

發(fā)現(xiàn)一個中度的可疑啟動項，也就是病毒原始主體的啟動項，另外雖然有的啟動項后面標(biāo)注了微軟的數(shù)字簽名，但是數(shù)字簽名有可能是假冒的，這個大家要注意，我們將可疑的啟動項目刪除。

3.系統(tǒng)服務(wù)列表：

在這里沒有看到可疑服務(wù)。

4.驅(qū)動程序列表：

發(fā)現(xiàn)很多可疑驅(qū)動程序，在確認(rèn)后我們將其刪除。

5.瀏覽器加載：

仔細(xì)察看，我們在這里可以看到很多可疑地方——勾選后點(diǎn)擊"刪除加載項"。

6.文件關(guān)聯(lián)列表：

沒有異常!

7.網(wǎng)絡(luò)服務(wù)提供者列表：

沒有異常。

8.自動播放文件列表：

流行的u盤病毒，在這里都將被檢測出來，沒有異常。

9.HOSTS文件：

沒有異常。

10.隱藏文件：

發(fā)現(xiàn)較多的隱藏文件，在確認(rèn)是病毒后我們將它刪除，一般情況下都是病毒文件。

11. 隱藏注冊表：

沒有問題。

一切修復(fù)好之后我們重新啟動計算機(jī)，以便順利地刪除病毒相關(guān)文件，之后點(diǎn)擊"開始—運(yùn)行"，輸入"gpedit.msc"，運(yùn)行后彈出"組策略"窗口，選擇"用戶配置"，再依次選擇"管理模板"、"系統(tǒng)"，在"系統(tǒng)"右邊選項框內(nèi)選擇"clt+alt+del選項"，雙擊"clt+alt+del選項"，雙擊"任務(wù)管理器"，選擇"未配置"，點(diǎn)擊確定，即可解除任務(wù)管理器的禁用。發(fā)現(xiàn)問題已經(jīng)修復(fù)，其他安全軟件也可以啟動了。

其實(shí)只要KV主程序可以順利啟動，處理未知病毒的一般流程也是這樣的。在對抗未知病毒的過程中，江民強(qiáng)大