杀毒软件反被病毒杀 连"救命"都不能喊

　　图4

　　案例三：毒霸被Kill

　　1.症状：金山毒霸的进程被结束，桌面下的毒霸图标变灰或者消失，实时监控实效。系统启动后提示：“运行环境不完整,可能发生文件损坏,建议重新安装金山毒霸或在线升级!”

　　2.金山毒霸2008以前的版本，对于自身进程的保护做得很差，运用命令就可以轻易地结束其进程，停止其服务。

　　taskkill /f /im kav32.exe
　　ntsd -c q -p #

　　提示：kav32为毒霸的进程名，#为毒霸进程的PID

　　3.救治：

　　升级法：把金山毒霸升级到2008。经测试，不能结束进程。(图5)

　　图5

　　文件法：如果你不想升级，那就把taskkill、ntsd命令改名或者删除。

　　二、“救命啊!我要被Kill了!”

　　无知不是罪，但不知却很可怕。敌人进入你的电脑你却浑然不知!总是在几天之后才发现，杀软早就悄无声息地被人干掉了，机子里充满了病毒。是呀，网上充满了各种木马、病毒加花加壳加草的方法，躲过杀软的监控，成功运行后，杀软便成了刀俎鱼肉，第一个被人干掉，不经意间你可能才会发现杀软的图标早就不见了，但是也晚了。那么杀软才被干掉的一瞬间，能不能让它喊一声救命再死呢?让我们好第一时间拯救它!

　　1.脚本文件法：

　　打开记事本，输入下面脚本代码(下面代码以瑞星为例)：

　　strComputer = "."
　　Set objWMIService = GetObject("winmgmts:" _
　　& "!" & strComputer & "
ootcimv2")
　　Set colMonitoredProcesses = objWMIService. _
　　ExecNotificationQuery("select * from __instancedeletionevent " _
　　& "within 1 where TargetInstance isa 'Win32_Process'")
　　i = 0
　　Do While i = 0
　　Set objLatestProcess = colMonitoredProcesses.NextEvent
　　If objLatestProcess.TargetInstance.Name = "RavMon.exe" Then
　　Wscript.Echo "注意：瑞星杀毒软件已经被关闭!!! 进程名：" & objLatestProcess.TargetInstance.name
　　end if
　　Loop