上个星期有一次帮同学的同学杀毒，遇到两个比较有趣的问题。而且这类问题我已经遇到过好多次了。
　　就是有两个病毒进程，我调出任务管理器结束其中一个进程的时候，转眼间马上又会重新运行起来。结束另一个进程也是如此。当时我很快就确定了这两个病毒是相互守护的。这个进程关联并且守护另一个进程，另一个进程也关联并且守护这个进程；一个被结束，另一个它里面写的程序就是如果那个进程被结束了，那么我就重起打开它，所以被结束的那个进程很快又重新打开了。明白了原理，实现起来就不难，写个批处理如下：
ntsd -c q -p 这个进程PID
ntsd -c q -p 另一个进程PID
保存为BAT文件执行就可以同时结束。

　　以上那个问题不是我要讲的重点，我要讲的是下面一个杀毒问题。
　　先讲出现的情况:一开机电脑就陆续20多个黑色的框，系统卡得要命，动弹不得(后来才发现在系统目录下有1.exe到20.exe20个病毒文件)。因为病毒是一开机就马上启动，所以我想先找到启动项删除，不然的话先让病毒启动起来系统会卡得无法操作，更别说杀毒了。病毒隐藏性不强，很快被我发现了启动项(还好注册表可以慢慢打得开)：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
当时看到就马上把它删了，但是郁闷的是删除了后马上又会自动添加。再删还是会自动添加进来，间隔时间很短。我知道肯定是有进程在监视。现在无法结束进程，而启动项又无法删除，怎么办呢？对，设置权限让它在下次开机时无法启动！！我先删除病毒启动项，然后想马上设置权限为不可写入。但是病毒的监视时间间隔显然要比我手工快得多，在我还没设置权限之前已经再次添加回来了。也对哦，我的手怎么可能快得过电脑呢？想一下接下来应该怎么做呢？现在的主要问题是系统启动时病毒会抢先启动导致系统卡死，从而无法进行其他一些手工杀毒操作。这样的话还是要从注册表的启动项里下手。既然删除了它的启动项又会很快回来，那么我何不先不删除，直接给Administrator组来个“全部拒绝”！！也就是连基本的读取权限都不给它。这样的话系统启动的时候，
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里的任何一项都不会被加载。这就是突破口！！

　　这样设置后果然重新启动时病毒已无法启动，那20个黑框框没有再跳出来。系统也就不再卡了，好了，可以轻松杀毒了。杀完之后，我介意大家重新开启读取权限，然后添加EVERYONE组，给予读取但不可写权限，这样会比较安全一些。