Feelings

近来恶意程序真是猖獗啊，公司很多电脑中了招，norton好像没有反应，只有升级到11月1日的病毒库后，才能检测并隔离buildnt.exe。只好先手工处理了。

电脑中招表现为不稳定，经过用sysinternals.com的免费工具process explorer检查，发现以下异常进程：

buildnt.exe、environment.exe、whpro.exe，在“服务”中可以看到一个可疑的“XPenvironment”服务，并设置为自动运行，立即kill以上程序进程，而enviroment.exe还有一个伪装的父进程services.exe，需要一并kill。

接着，打开资源管理器，将文件夹查看选项设置中“隐藏受系统保护的文件”前面的勾去掉，将“显示隐藏文件和文件夹”前面打勾，删除以下文件和文件夹：

C盘根目录下的一个可疑的压缩文件，名称不定。 

"program files\\whidepro"

"winnt\\system32\\buildnt.exe"

"winnt\\system32\\devices"，这个文件夹含有services.exe、environment.exe等，而且图标伪装成servu的应用。

最后，运行regedit打开注册表，删除以下键值：

"HCU\\Software\\microsoft\\windows\\CurrentVersionSet\\Run\\WindowsHidePro"

"HCU\\Software\\microsoft\\windows\\CurrentVersionSet\\Run\\Windows Script Initialization"

"HCU\\Software\\microsoft\\windows\\CurrentVersionSet\\RunServies\\Windows Script Initialization"

"HLM\\Software\\microsoft\\windows\\CurrentVersionSet\\Run\\Windows Script Initialization"

"HLM\\Software\\microsoft\\windows\\CurrentVersionSet\\RunServies\\Windows Script Initialization"

"HLM\\System\\ControlSet001\\Services\\XPenvironment"

"HLM\\System\\ControlSet002\\Services\\XPenvironment"

好了，升级病毒库，重新启动系统。