本来以为自己已经搞定Beagle，结果发现系统变得有些异常。用netstat -o -a看，0号进程竟然往一个不知道那里的网站发起http连接，而且是在刚连上网的片刻，过一会就没了。

  …
  TCP    rainbow:1048           211.157.106.59:http    TIME_WAIT       0
  …

查查这个ip，好像是属于一个公司，80端口是有个http server，估计被黑了。

还好像有莫名其妙的隐藏代理。本来去 SpyPot（一个anti-spareware的软件），结果回来的是空白页面。用telnet一看：

HTTP/1.1 302 Found
Date: Sat, 31 Jul 2004 09:51:34 GMT
Server: Apache/1.3.27 (Unix) PHP/4.3.2
X-Powered-By: PHP/4.3.2
Location: http://newnet.qsrch.com/dpark?s=&prt=nn02
Connection: close
Content-Type: text/html

看来机器上可能还有木马。惨。。。

只有重装系统了，可是那么多自己的文件会是没有木马的吗？看来要对norton的防范能力大打折扣。而且，只要用windows，安全问题层出不穷。真不知道下一次重装系统又是在什么时候。

染毒过程：收到来自同事的一封Title 为Re: 的邮件，附件为.ocx，打开之后无反应，然后就中了。气人的是好多程序都没办法打开，norton也被关掉，live-update的对话框弹不出来。最后发现需要手工做一点事情，才能控制住。真不想再用windows乐。

关于详细解释：http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.ac@mm.html

手工控制办法：

1. 杀掉sys_xp.exe的进程 

2. 关掉windows xp的系统还原功能

2. 查找名为sys_xp*的文件（别忘了包括隐藏和系统文件），全部删除

3. 照着synmantec网站的指导，更改注册表

4.运行自动更新，如果你有norton anti-virus的话

5.到安全模式下，运行norton，norton会将infected的文件隔离。如果你不放心的话在norton里把隔离的文件删除。菜单view->Quarantine, 选择所有的文件，点击删除按钮。