先說第一個病毒。幾天前，兒子突然過來說，機器上有500多個病毒。我很奇怪，問他是怎麼知道的。他說，有個反病毒軟件說的。我一聽就不對。這肯定是病毒冒充的。趕緊跑到機器前一看，果然，一個號稱是Vista security defender的軟件。裝模做樣，掃描結果很清楚，各種病毒530個。

右下角不停地在提示我們，你的機器被監控了， 你的密碼可能被盜，你的銀行賬戶危險，你的IDENTITY危險...

兒子一着急，立即按了一下“刪除病毒”的BUTTON，果然，立即好心提醒我們，現在安裝的反病毒軟件管掃不管殺，如果要殺，請支持正版，價格為35美元整。支持信用卡或PAYPAL方式支付。

我趕緊抓過鼠標，防止兒子再亂按。首先，關掉一切正在運行的程序。然後右鍵點擊最下方的命令條，選擇TASK MANAGER， 然後選PROCESSES TAB. 因為是VISTA，所以還要選擇 “Show processes from all users" 來顯示所有正在運行的程序。見下圖。

按CPU，讓它們按照CPU 使用時間排序。 因為病毒正在發作中，所以一定會使用CPU的。果然，不一會兒，一個很神秘的AV.EXE 就憑5% CPU 的使用率竄到第二名。這個AV.exe 有個很奇怪的程序描述：Windows Clipboard Viewer. 右鍵點它，選Properties, 告訴我，該程序被存在 c:users[myuser]AppDataLocal下。 選擇Details TAB， 說該程序由TWX 公司生產 (TWX是當年美國在線(AOL)的股票代號)

這顯然就是病毒.打開DOS (為什麼用DOS,後面會說). 敲下命令
cd c:users[myuser]AppDataLocal
dir /a

果然, Av.exe 就藏在這裡呢.說它藏,是因為該文件被標成系統隱藏文件.平常的目錄列表時看不見它的.

先解除它的系統隱藏狀態:
attrib -s -h av.exe
然後, 改名:
rename av.exe virus.exe

改名比刪除有兩個好處:
1. 保留病毒標本.
2. 如果病毒被系統 LOCK 住了,你可以改名,但無法刪除.

下面,啟動機器. 重新啟動機器後, 再試圖打開TASK MANAGER, 居然給了個“FILE NOT FOUND”的錯誤。

只好鼠標右鍵點左下角START BUTTON， 選EXPLORE， 先讓Windows Explorer轉起來。走到c:windowssystem32 目錄下，發現taskmgr.exe好好地存在那裡麼。怎麼會 FILE NOT FOUND 呢？

在Windows Explorer 中雙擊該文件，居然提示我用哪種程序打開。雙擊其他的exe 文件，也都不運行，但提示問我用哪種程序打開。

我把Notepad.exe 拷貝到原來病毒所在的地方c:users[myuser]AppDataLocal， 然後把它改名為av.exe. 再從Windows Explorer 中雙擊exe 文件的話，該exe 文件就會正常運行了。但是副作用是會同時打開一個Notepad.exe.

很顯然，exe 文件的 Shell Command 被修改了。
那就改回去吧。於是按START，然後RUN..., 敲入並執行regedit.exe.

在HKEY_CLASSES_ROOT 下，找到 .exe 目錄。 展開，看見SHELL目錄。
下面有三條：OPEN， RUNAS和START。

一條條慢慢看。 OPEN 下有COMMAND，裡面的(Default) 顯然被病毒修改了。怎麼改回去呢？先參考一下其他條是什麼。
去到START下，發現command里的 （Default）都被設成 "%1" %*
於是回到Open 下的 Command 里，把(Default) 改成"%1" %*

大功告成了麼? 且慢. 微微軟做事情從來想得太多 (也是沒辦法,另文描述).
所有的文件後綴都有個別名. .exe 文件的別名是什麼呢? 在.exe 目錄里,(Default) 里告訴你, .exe 文件又叫做secfile.

回到Regedit里,把滾動條使勁向下拉,找到secfile. 果然,Shell下,Open 里,Command 的(Default)也被病毒改了.同樣改回.
重新啟動機器. 一切運行良好. Task Manager 中再也沒有奇怪的程序運行了.
病毒斬殺第一關到此結束.

該病毒還有其它的變種. 例如墩子在XP機器上中的 XP Guardian 聽上去跟這個病毒非常類似. 用類似的辦法應該可以解決.

上面是講過程， 下面總結一下如何殺毒.

1. 打開 DOS 窗口。 如果不會的話, 就先按左下角的Start BUTTON， 然後 選"All Programs", 按 Accessories， 如果是XP的話, 直接選Command Prompt. 如果是Vista的話, 鼠標右鍵按 Command Prompt, 選"Run as Administrator".

2. 敲入下列命令：

cd 
dir /a /s av.exe

該過程也許要等幾分鐘。 然後會顯示這個:

Directory of C:usersvictimAppDataLocal
09/11/2001 10:01 AM 140,001 av.exe

敲這個命令：其中,cd 後面跟上面顯示的Directory of 後面的內容.
cd C:usersvictimAppDataLocal

再敲這個命令：
attrib -s av.exe
attrib -h av.exe
copy c:windows otepad.exe av.exe

你的機器就已經無毒了. 不過呢, 每次運行程序會開一個Notepad, 忍忍就算了. 呵呵。