杀毒软件被“杀” 连声“救命”都没喊

　　3.救治：

　　权限限制法：

　　如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options ，选中该项，右键→权限→高级，将administrator 和 system用户的权限调低即可(这里只要把写入操作给取消就行了)。(图3)

　　图3

　　快刀斩乱麻法 ：

　　打开注册表编辑器，进入把HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options 项，直接删掉 Image File Execution Options 项即可解决问题。 (图4)

　　图4

　　案例三：毒霸被Kill

　　1.症状：金山毒霸的进程被结束，桌面下的毒霸图标变灰或者消失，实时监控实效。系统启动后提示：“运行环境不完整,可能发生文件损坏,建议重新安装金山毒霸或在线升级!”

　　2.金山毒霸2008以前的版本，对于自身进程的保护做得很差，运用命令就可以轻易地结束其进程，停止其服务。

　　taskkill /f /im kav32.exe

　　ntsd -c q -p #

　　提示：kav32为毒霸的进程名，#为毒霸进程的PID

　　3.救治：

　　升级法：把金山毒霸升级到2008。经测试，不能结束进程。(图5)

　　图5

　　文件法：如果你不想升级，那就把taskkill、ntsd命令改名或者删除。

　　二、“救命啊!我要被Kill了!”

　　无知不是罪，但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现，杀软早就悄无声息地被人干掉了，机子里充满了病毒。是呀，网上充满了各种木马、病毒加花加壳加草的方法，躲过杀软的监控，成功运行后，杀软便成了刀俎鱼肉，第一个被人干掉，不经意间你可能才会发现杀软的图标早就不见了，但是也晚了。那么杀软才被干掉的一瞬间，能不能让它喊一声救命再死呢?让我们好第一时间拯救它!

　　1.脚本文件法：

　　打开记事本，输入下面脚本代码(下面代码以瑞星为例)：

　　strComputer = "."

　　Set objWMIService = GetObject("winmgmts:" _

　　& "{impersonationLevel=impersonate}!\" &strComputer &" ootcimv2")

　　Set colMonitoredProcesses = objWMIService. _

　　ExecNotificationQuery("select * from __instancedeletionevent " _

　　& "within 1 where TargetInstance isa "Win32_Process"")

　　i = 0

　　Do While i = 0

　　Set objLatestProcess = colMonitoredProcesses.NextEvent

　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then

　　Wscript.Echo "注意：瑞星杀毒软件已经被关闭!!! 进程名：" &objLatestProcess.TargetInstance.name

　　end if

　　将第十行中的RavMon.exe替换成自己所使用的杀毒软件进程名，一定要注意大小写，第十一行中的中文字也可以自己写。然后依次单击“文件”→“另存为”，将其保存为*.vbs文件，双击运行即可开始对杀毒软件的监视，最好放到Windows启动文件夹中(C:Documents and SettingsAll Users「开始」菜单\程序启动)，这样每次开机都会自动对杀毒软件进行监视，如果想要停止监控只要结束wscript.exe进程即可。