同学说他的笔记本电脑中毒了，很严重，我去将其解决，保留了样本，又顺便测试了一下。清除这只病毒除了windows自带的工具没使用其他任何工具，分析如下：

一、中毒症状：
老是弹出“Windows文件保护”的对话框，任务管理器与cmd被病毒替换，“文件夹选项”消失，盘符双击在新窗口打开，卡巴报毒Worm.Win32.VB.fw，但就是杀不掉。

二、病毒行为：
1、病毒运行后衍生的病毒文件：
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.exe
X:\kerneldrive.exe
X:\autorun.inf
（其中X表示相应的盘符，不过移动盘根目录下的病毒文件为handydriver.exe与autorun.inf）

2、修改注册表，以随机启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wininit
键值：字串："C:\WINDOWS\system32\wininit.exe"

3、替换任务管理器taskmgr.exe与cmd.exe为病毒自身，禁用任务管理器，隐藏“文件夹选项”。

三、清除方案：
1、从正常电脑上拷贝任务管理器taskmgr.exe与cmd.exe文件到中毒电脑上。

2、结束病毒进程wininit.exe：
直接运行cmd.exe输入命令tasklist查看进程列表，输入taskkill /pid xxx结束病毒进程。（xxx表示病毒进程对应的pid号）

3、运行"gpedit.msc"打开组策略：
恢复“文件夹选项”，按步骤执行：
用户配置-管理模板-Windows组件-WIindows资源管理器-从“工具”菜单删除“文件夹选项”菜单-已禁用-确定。

恢复“任务管理器”，按步骤执行：
用户配置-管理模板-系统-Ctrl+Alt+Del选项-删除“任务管理器”-已禁用-确定。

4、用正常的taskgmr.exe与cmd.exe文件覆盖%system32%下被病毒替换的taskmgr.exe与cmd.exe文件。

5、显示隐藏的病毒文件，按步骤执行：
我的电脑-菜单栏-工具-文件夹选项-查看-勾去“隐藏受保护的操作系统文件（推荐）”-勾选“显示所有文件和文件夹”-确定。

6、删除病毒文件：
%system32%\systeminit.exe
%system32%\winsystem.exe
%system32%\wininit.exe
X:\kerneldrive.exe
X:\autorun.inf
（注意：删除病毒文件时，千万不要双击打开盘符以免激活病毒，可以通过地址栏或资源管理器进入相应盘符。）

7、分别以关键字systeminit.exe,winsystem.exe,wininit.exe,kerneldrive.exe,handydriver.exe搜索注册表，删除相应键值。最后建议用魔法兔子进行垃圾清理。（病毒样本可以到我的网盘http://ycosxhack.ys168.com/去下载，在“病毒样本”目录下，文件名为“kerneldrive.rar”^+^。）