近来，我们这里有一个病毒文件流传的很快。文件名是wupdate.exe，用了多种更新病毒定义码的杀毒软件都查不出它有什么问题。可是有这个文件的系统，会出很多奇怪的现象，比如网络共享不可用，很多客户端软件和服务器连不上等，这个文件在注册表上多处安身，看来一定应该是个病毒了。

上网搜索了一下，网上查得的信息是“wupdate.exe是Wengs广告软件的一部分。这个进程这个进程监视你的浏览习惯，并将相关数据回传到其服务器上用于分析。这个程序也会弹出广告窗口。这个进程的安全等级是建议立即进行删除。”我觉得并非如此简单，它还对很多网络服务有影响。

先做点手工删除的工作吧。首先是在任务管理器里把病毒进程停掉，然后是搜索硬盘里都有哪些地方有这个文件。结果搜到了2处，一个是在Symantec Antivirus程序文件夹里，还有一个在system32里，设了只读和隐藏的属性。没有疑问，立即删掉。再有就是在注册表里搜索了，把搜到有这个文件名的键值都删掉。

下面就要考虑是否还有其它文件，能释放出这个文件？检查了注册表里好几个有可能隐藏这种程序的地方，都没有什么结果。其实，完整的办法应该是找一个干净的系统，然后用注册表比对软件做记录，放上这个病毒文件后，再做比对，看注册表里有什么变化。这些现在都没准备，看来以后得准备这么一套系统和比对软件备用了。

我把我做的这些工作做了个批处理，然后压缩成可执行文件，当做专杀工具，放到了我的网络安全专题里。其实我知道，这个专杀工具杀得很不彻底，现在对这个病毒的了解还很肤浅。希望下一次新病毒来的时候，能有更充分的准备。

后记：现已证明，wupdate.exe就含有这一阶段有名的病毒：w32.spybot.worm。SAV需要升级到10.1.4.4000版本，病毒定义升级到目前最新才能较好地杀掉这个病毒。