今天发现了一个猛的
先说现象，以前安的symantec   antivirus9常常无故跳出“实时监控已经禁用”的提示，系统自动更新始终无法完成flash的一个更新。
粗看了一下，好像是病毒库还在去年的11月份，于是连上网升级，等了N久，说有一个文件未能更新。看了一下病毒库版本还是未变，干脆直接上网下了升级包，运行完了，结果还是那样。
心想是不是被什么玩意干扰了，于是先清理了一遍流氓软件，又打开赛门铁克准备杀一次毒，居然说是不能加载扫描引擎，看来问题严重了。
用syscheck检查一遍内核，除了ZA防火墙的东西外没有其他的啊。一时之间，理不出个头绪来。于是先把旧的卸了，重启，再装了一个v10的，更新，可以扫描了。扫了一会，扫出几个很普通的玩意，基本上没多大的参考价值。闲不住，开了狙剑来看，突然有所发现了，除了ZA的以外，当然还有狙剑本身的以外，还有两个东东，其中一个竟然是inlinehook，查看文件属性，说的好像是intel的管显示的，还说是与directX有关，想一想觉得好生古怪，管它的，先用狙剑解除它的inhook再说，竟然解不掉，郁闷。
这时候，我犯错了，我居然直接搜索这两个文件，并且准备把它们删掉，其中一个删掉了，另一个就在我全选了点删除的那一瞬间，机器给了我一张蓝脸并在0.5秒内停止了活动，我估计那个时候我的脸色一定是相当尴尬。然后重启了两遍都进不了欢迎屏幕，我才意识到我的冲动带来了多大的麻烦。不得已进PE，把那个在回收站的文件还原，重启，终于又看到了桌面。
可是，时间也很晚了。我估计了一下，以我的能耐怕是在今天晚上弄不好了，所以把杀毒开了扫描做幌子，麻利的打道回府了。
现在猜吧，有没有可能是symantec10的？但是它为何要在文件属性中用intel的名字？这很让人费解啊，何况我印象中没看到过那个symantec10有用hook的。


------解决方案--------------------
楼主可以换其它杀毒软件扫描看看

或者把可疑文件上报给反病毒公司分析看看。
------解决方案--------------------
可以直接提交样本
或是把可疑的文件用密码压缩起来发给我robert.x.wang <at> gmail.com