听dodo说，发现一MM的电脑好象中了终结者，用毒霸的专杀修复后，毒霸仍不能启动。要来QQ，远程连接过去看个究竟。网速限制，整了一个小时，最终搞定，写总结文章比修复简单多了。

1.给MM传过去需要的工具软件：AV终结者专杀，autoruns，冰刃，process explorer。

2.分别运行这四个工具，只有专杀可以启动，其它工具未能启动。尝试进入kav2007目录，发现毒霸主程序，清理专家均无法启动。autoruns和Process Explorer改名后可以运行。冰刃改名后，打开即被关闭，毒霸和清理专家也一样。

3.在autoruns的explorer页发现2个DLL，a1d29050.dll和msacn.dll（使用autoruns时，一定要选中隐藏MS签名认证的项目，不然要累死）。

将这两个DLL复制到桌面的新建文件夹备份。然后将process explorer改名后运行，在进程explorer中查找相关线程。找到4个正在运行的线程，立即将病毒线程暂停。

4.这时已经发现冰刃可以正常使用了，所以就选择用process Explorer杀掉了相关线程。

5.继续使用autoruns查看服务，找到3个未知服务。不过，事后证实这三个服务与毒霸不能运行无关，是毒霸可杀的木马程序。

6.接下来，进入毒霸目录，双击uplive.exe升级。

7.升级完成后，双击kav32.exe执行病毒扫描。结束发现了10多个已知木马。当然，这几个令毒霸，冰刃无法运行的DLL，是新病毒。

为确保清除成功，建议MM扫描完毕后再和AV终结者修复一下注册表，因为这个病毒让隐藏文件无法正常显示，这个AV终结者修复工具，刚好可以解决这个问题。

补充一点，在使用autoruns的过程中，发现病毒已经删除了毒霸注册的服务，因此，电脑如果重启的话，会发现实时监控不能被加载。

总结：

类似AV终结者的病毒，会把杀毒软件做为攻击的第一道关。攻击成功后，会使用下载器下载一堆的木马，本案例就在解决掉新病毒后，升级毒霸查到10多个盗号木马。

预计在一段时间内，采用这种手法的盗号集团将十分猖獗。请网友参考AV终结者的综合方案采取防御措施。