先说第一个病毒。几天前，儿子突然过来说，机器上有500多个病毒。我很奇怪，问他是怎么知道的。他说，有个反病毒软件说的。我一听就不对。这肯定是病毒冒充的。赶紧跑到机器前一看，果然，一个号称是Vista security defender的软件。装模做样，扫描结果很清楚，各种病毒530个。

右下角不停地在提示我们，你的机器被监控了， 你的密码可能被盗，你的银行账户危险，你的IDENTITY危险...

儿子一着急，立即按了一下“删除病毒”的BUTTON，果然，立即好心提醒我们，现在安装的反病毒软件管扫不管杀，如果要杀，请支持正版，价格为35美元整。支持信用卡或PAYPAL方式支付。

我赶紧抓过鼠标，防止儿子再乱按。首先，关掉一切正在运行的程序。然后右键点击最下方的命令条，选择TASK MANAGER， 然后选PROCESSES TAB. 因为是VISTA，所以还要选择 “Show processes from all users" 来显示所有正在运行的程序。见下图。

按CPU，让它们按照CPU 使用时间排序。 因为病毒正在发作中，所以一定会使用CPU的。果然，不一会儿，一个很神秘的AV.EXE 就凭5% CPU 的使用率窜到第二名。这个AV.exe 有个很奇怪的程序描述：Windows Clipboard Viewer. 右键点它，选Properties, 告诉我，该程序被存在 c:users[myuser]AppDataLocal下。 选择Details TAB， 说该程序由TWX 公司生产 (TWX是当年美国在线(AOL)的股票代号)

这显然就是病毒.打开DOS (为什么用DOS,后面会说). 敲下命令
cd c:users[myuser]AppDataLocal
dir /a

果然, Av.exe 就藏在这里呢.说它藏,是因为该文件被标成系统隐藏文件.平常的目录列表时看不见它的.

先解除它的系统隐藏状态:
attrib -s -h av.exe
然后, 改名:
rename av.exe virus.exe

改名比删除有两个好处:
1. 保留病毒标本.
2. 如果病毒被系统 LOCK 住了,你可以改名,但无法删除.

下面,启动机器. 重新启动机器后, 再试图打开TASK MANAGER, 居然给了个“FILE NOT FOUND”的错误。

只好鼠标右键点左下角START BUTTON， 选EXPLORE， 先让Windows Explorer转起来。走到c:windowssystem32 目录下，发现taskmgr.exe好好地存在那里么。怎么会 FILE NOT FOUND 呢？

在Windows Explorer 中双击该文件，居然提示我用哪种程序打开。双击其他的exe 文件，也都不运行，但提示问我用哪种程序打开。

我把Notepad.exe 拷贝到原来病毒所在的地方c:users[myuser]AppDataLocal， 然后把它改名为av.exe. 再从Windows Explorer 中双击exe 文件的话，该exe 文件就会正常运行了。但是副作用是会同时打开一个Notepad.exe.

很显然，exe 文件的 Shell Command 被修改了。
那就改回去吧。于是按START，然后RUN..., 敲入并执行regedit.exe.

在HKEY_CLASSES_ROOT 下，找到 .exe 目录。 展开，看见SHELL目录。
下面有三条：OPEN， RUNAS和START。

一条条慢慢看。 OPEN 下有COMMAND，里面的(Default) 显然被病毒修改了。怎么改回去呢？先参考一下其他条是什么。
去到START下，发现command里的 （Default）都被设成 "%1" %*
于是回到Open 下的 Command 里，把(Default) 改成"%1" %*

大功告成了么? 且慢. 微微软做事情从来想得太多 (也是没办法,另文描述).
所有的文件后缀都有个别名. .exe 文件的别名是什么呢? 在.exe 目录里,(Default) 里告诉你, .exe 文件又叫做secfile.

回到Regedit里,把滚动条使劲向下拉,找到secfile. 果然,Shell下,Open 里,Command 的(Default)也被病毒改了.同样改回.
重新启动机器. 一切运行良好. Task Manager 中再也没有奇怪的程序运行了.
病毒斩杀第一关到此结束.

该病毒还有其它的变种. 例如墩子在XP机器上中的 XP Guardian 听上去跟这个病毒非常类似. 用类似的办法应该可以解决.

上面是讲过程， 下面总结一下如何杀毒.

1. 打开 DOS 窗口。 如果不会的话, 就先按左下角的Start BUTTON， 然后 选"All Programs", 按 Accessories， 如果是XP的话, 直接选Command Prompt. 如果是Vista的话, 鼠标右键按 Command Prompt, 选"Run as Administrator".

2. 敲入下列命令：

cd 
dir /a /s av.exe

该过程也许要等几分钟。 然后会显示这个:

Directory of C:usersvictimAppDataLocal
09/11/2001 10:01 AM 140,001 av.exe

敲这个命令：其中,cd 后面跟上面显示的Directory of 后面的内容.
cd C:usersvictimAppDataLocal

再敲这个命令：
attrib -s av.exe
attrib -h av.exe
copy c:windows otepad.exe av.exe

你的机器就已经无毒了. 不过呢, 每次运行程序会开一个Notepad, 忍忍就算了. 呵呵。