故障现象：计算机启动明显变慢，打开网页也很慢，有时甚至打不开；提示防火墙被关闭；瑞星杀毒监控被停止，主程序刚打开即被关闭，无法启动；瑞星卡卡也启动不了。
初步诊断：系统感染恶性病毒。
处理过程：
1. 查找病毒：因为杀毒软件已无法启动，所以只能采用手工查找。
先启动msconfig工具，未发现异常启动项；
打开IE浏览器，打开“管理加载项”窗口，也没有发现异常的加载项；
使用“瑞星听诊器”工具软件，扫描后生成报告。打开报告“瑞星听诊信息.htm”，其中部分内容如下：
C:\WINDOWS\SYSTEM32\CTFMON.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\4D023DE9.DLL

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\PROGRAM FILES\TENCENT\QQDOWNLOAD\QQIEHELPER02.DLL
    C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS     LIVE\WINDOWSLIVELOGIN.DLL
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL
    C:\WINDOWS\SYSTEM32\URLFILTER.DLL
    C:\PROGRAM FILES\RISING\ANTISPYWARE\URLRULE.DLL
    C:\WINDOWS\SYSTEM32\4D023DE9.DLL

C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\WLLOGINPROXY.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\WINDOWS LIVE\MSIDCRL40.DLL
    C:\WINDOWS\SYSTEM32\4D023DE9.DLL

C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\4D023DE9.DLL
    C:\WINDOWS\SYSTEM32\RAVEXT.DLL
    C:\WINDOWS\SYSTEM32\MSACM32.DRV

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\4D023DE9.DLL

K:\瑞星培训\分析工具\RSDETECT.EXE
    C:\WINDOWS\SYSTEM32\KMON.DLL
    C:\WINDOWS\SYSTEM32\4D023DE9.DLL

发现在很多系统进程下挂接了一个异常的文件：C:\WINDOWS\SYSTEM32\4D023DE9.DLL，包括瑞星听诊器本身。这个文件名是一串随机的字符，找到这个文件后，发现它没有任何发布公司或版本的信息，可以肯定这是个病毒文件！终于找到它了！
2. 清除病毒
病毒找到了，把它删除即可。点删除，系统提示文件正在使用，删不掉！这时就需要使用另一个利器——IceSword，它可以在系统控制之上，强制删除文件！马上找到它，双击，却没反应！再次双击，还是没反应！你可能以为它被病毒破坏了吧？其实不然，它是被镜像劫持了，当然这也是病毒干的！修改一下文件名（在后面加个'1'即可），再双击，OK！打开了！首先在设置中选中两个选项：禁止进线程创建和禁止协件功能，然后打开文件栏目，找到上面那个病毒文件，击右键，选择强制删除，终于把它删掉了！
3. 清理其他问题
重新启动计算机，发现启动速度明显加快，而且瑞星杀毒的监控也起来了。启动瑞星主程序，还是不行，启动瑞星卡卡，也不行，看来这两个程序也被镜像劫持了。病毒会把与杀毒有关的程序和对付病毒的工具进行镜像劫持，如果你不懂得这回事，你就打不开它们而无法使用。
启动autoruns工具，提示参数错误（这个工具也是被劫持的对象），同样地，改一下文件名，再启动。打开Image Hijacks标签，看到一大堆的劫持项！在劫持项列表窗口的顶端，有一行注册表项，HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，这就是镜像劫持在注册表中的位置。打开注册表编辑器，找到对应的项，删除即可。
再启动瑞星杀毒软件，OK！正常启动！选择对计算机全部查杀一遍（又查到好几个病毒）。
启动瑞星卡卡，也没问题。使用里面的工具对计算机做一个全面的检查。
把IceSword和autoruns的文件名改回来，也能正常启动了。
至此，大功告成！计算机完全恢复正常！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GTB5; .NET CLR 1.1.4322)

呵！先谢谢2楼的回复！
瑞星听诊器在瑞星网站上就有，位置在下载->专杀工具；
IceSword和autoruns在附件的压缩包中，欢迎大家下载使用。