二、神器在手所向披靡
    现在说了关键的地方了，到底是什么工具可以让病毒闻风丧胆呢？是一个很高深的软件？是一个很大的反编译程序？还是一个什么设备呢？其实他就是一个体型弱小的ICESWORD，也就是传说中的“冰刃”。这款软件就如同他的名字一样直插病毒的深处，彻底破坏掉病毒的防御体系，从而完成的将他从你的系统中清理出去。

    1、初次见面，多多关照。运行冰刃给人的第一感觉是很简单的，左侧一排导航项，上排简单几个菜单。而冰刃远远不止他的外表那么简单，从他的启动我们就能看出设计者的严谨，曾一段时间里病毒为了保护自己禁止杀毒软件的运行，关闭标题有相关字段的软件为了避免自身被禁用，冰刃在标题栏上采用了随机字符的方式每次启动都会随机取得一串字符。即使这样你的冰刃也有可能无法运行，出现这个情况的时候可以把软件的主程序名称修改后重试，一般可以解决。

    2、工欲善其事，必先利其器。在开始正式剿灭病毒之前需要一个相对稳定的环境，这也是保证病毒能被彻底清除的前提条件。通过文件下的设置选项禁止进程的创建、加强注册表写入以及禁止协件功能，执行上述操作可以让病毒在受到攻击时无法自我保护。这里如果你要配合一些日志软件使用，那么请在打开这些日志扫描软件以后再设置该3项功能。如图一

增强冰刃的查杀效果

    3、庖丁解牛，分步击破。通过CTRL+ALT+DEL可以启用系统资源管理器，在这里我们可以看到计算机后台运行的进程，而这些进程他们都代表着什么意义，有进程没有显示在里面吗？这就是我们破解病毒需要做的第一步，利用冰刃的进程查找可以发现里面的隐藏进程，隐藏进程通常都是一些无法证实其安全性的进程，如果你发现SVCHOST和EXPLORER是隐藏进程，那就可以多在这上面下工夫，因为这两个系统进程默认是不可能隐藏的。小提示：在关闭这些隐藏进程的同时建议关闭掉explorer.exe、iexplore.exe、rundll32.exe这3个进程，他们牵扯了太多的系统文件，本身WINDOWS操作系统对他们就有很强的保护，病毒捆绑在上面清理更不容易，为了病毒清理的彻底关闭这3个进程是明智之举。处理完隐藏进程回过头来看看SSDT,SSDT的全称是System Services Descriptor Table，系统服务描述符表。如果觉得抽象可以这么来理解，SSDT列表中包含了所有API信息，他的重要性可以从部分主动防御软件通过SSDT表来工作就足以体现其的重要性。这里提及SSDT主要是恢复被修改的不正常的SSDT项目，在恢复记录的同时请记录好服务函数所在的地址，在文件处理中将删除相关的文件。如图二

恢复不正常的SSDT项目

    方才对进程和SSDT进行了清理，下面开始处理病毒的尸体文件了，根据刚才清理时记录的文件路径，使用文件清理查找对应的目录，并枚举目录下特定后缀名的文件，强制删除对应的文件。这样就可以避免病毒文件存放在系统中而引发的遗留问题。

    到这里一个简单的病毒基本上处理完了，但是还有一些遗留问题需要做善后处理，如查看启动相关的注册表键值，将和病毒文件相关或陌生的启动键值清理掉，如果有不清楚的启动键值可以通过搜索引擎查找相关关键字，你可以找到很实用的信息来帮助你判定是否应该清理，这里的操作也可以通过冰刃的注册表选项来完成，工具的注释功能应该能从很大程度上帮助用户判定值的好坏。最后清理BHO选项中的相关加载项目，保证恶意信息被彻底清除。

    编者按：做到这里病毒的清理工作基本上已经完成了，病毒的自我复制传播的一些特性基本上解除，为了进一步提高清除的效果，建议读者运行SRENG修复一下关联文件，再使用WINDOWS优化大师的ACTIVEX清理用推荐配置将系统做一个标准的默认修复。基本上可以彻底解决问题，这里只提供了一个清理病毒的思路，希望能达到抛砖引玉的效果。