taskmgr删了又恢复了

最近电脑突然卡，发现进程了多了很多许多个taskmgr.exe
感觉不对，马上用专业的在线杀毒http://www.antidu.cn/board/online/ 查杀
瑞星报毒！！

样本提供者还提供了一个Gameeeeeee.vbs。监控了一下其运行：Gameeeeeee.vbs运行后，到 C:\Documents and Settings\Administrator\Local Settings\Temp目录下找Gameeeeeee.pif。找到后，即刻加载运行之。看来，这可能是个来自网络的脚本病毒。
我事先用工具禁止了任何程序针对%system%\drivers目录的创建/写入操作，然后在影子环境下运行此病毒样本，重启后，系统一切正常（system32目录下以及dllcache目录下的debug.exe、taskmgr.exe等还是系统程序，病毒未能改写之）。
这里的关键是：病毒在%system%\drivers目录下释放ntkapi.sys的动作被俺成功阻截了。
至于病毒可能释放驱动的其它位置，如：系统根目录、%Program Files%Internet Explorer\PLUGINS目录、当前用户temp目录、%windows%\temp目录.....，用户也应采取恰当防护措施，禁止外来程序在上述目录下创建.sys文件。

下面是我找到的“taskmgr.exe”的资料

进程文件： taskmgr 或者 taskmgr.exe
进程名称： The Windows Task Manager.
描述：taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
出品者：Microsoft Corp.
属于：Windows
系统进程