遭遇sal.xls.exe

         我一直比较喜欢让爱机“裸奔"（别误会，就是不装杀毒软件运行而已），因为觉得绝大部分杀毒软件除了消耗你的内存拖慢你的爱机外，一无是处。使用english OS做开发工作平台，及时打打patch，enable一下firewall，动动group policy，把一些垃圾站通过host避了，当然对于那些X虎、XX猪等垃圾插件也一个不能少地给免疫掉（手工免疫生产效率太低，推荐使用safe360），如此，基本上相安无事。

         不过前几天突然发现一个异常现象，就是每次右击分区出现的快捷菜单中都多了一个项AUTO,很显然这不是善意的来者，因为记得我在上学的时候跟mice就搞过这样的恶作剧，在分区的根目录下放一个autorun.inf文件，文件里面写上open=xxx.exe这样的语句，当然xxx.exe是自己写的小东东，记得当初学VB,用VB写个强制关机的小东西，呵呵，放在机房的电脑里，等别人高高兴兴来用电脑的时候，双击一下某个分区，呵呵，xxx.exe程序就立即执行，跳出一个强制关机的界面，吓人一跳，不过当初只是觉得好玩，也没做什么伤天害理的事，所以现在回忆起来，比较幼稚但也比较心安。不过正是有过这样的经历，我才立即意识到现在被别人恶作剧了，采取行动，当然首先是disable掉hide protected operating system files，呵呵，不出所料，每个分区的根下面都多了两个隐藏文件autorun.inf与sal.xls.exe，打开autorun.inf一看，open=sal.xls.exe，当然这只是发现一个线索，按道理讲，它应该还有一个东东加载进进程了，当然也不排除在其他目录放了一些不该放的文件，马上以sal.xls.exe为关键字GOOGLE一下，呵呵，跟我有同样遭遇的人还真不少，当然手工清除的方法也有了：

1.Alt+shift+Del调出任务管理器，结束algssl.exe  msfir80.exe msime80.exe SVOHOST.exe(注意不是svchost.exe)这几个进程（我机器上只有algssl.exe这个，另外一个机器上发现只有 SVOHOST.exe）
2.删除注册表里的有关msfir80.exe、sal.xls.exe、SVOHOST.exe的字眼。
3.到c:\windows\system32 下面删除以下exe文件
algssl.exe
msfir80.exe
msime80.exe
SVOHOST.exe

3、删除每个盘符根目录上的两个隐藏文档
AUTOINF.EXE
sal.xls.exe

重启，OK,快捷菜单中的auto不见了，别了，sal.xls.exe，继续“裸奔", : )