进去安全模式，时间不对了，从2008变成了2003年。在系统文件夹找到个system.exe文件，创建时间是2008年9月22日 14点49分的。那时候我在南宁，差不多就是这个了。

    进入msconfig，发现system.exe是开机自动启动。进入注册表，删掉。马上又恢复，删除不了。

认真一看，该注册表的值的名称是HBService32。

    用注册表的查找功能查找HBService32，发现它所在的子项的名字是HBKernel32，-->删除。删除不了，修改了权限，删除了，可又自动添加进去。

    在system32\DRIVERS中，找到HBKernel32.sys，估计应该是个驱动文件。

    在设备管理器中，选择查看->显示隐藏的设备，在非即插即用设备而中要到一个ace1f7的设备，查看了该设备的的驱动文件正式system32\DRIVERS\HBKernel32.sys，基本断定是该病毒作为一个"设备"而在电脑中运行。

    卸载该设备。重启，再进入安全模式。

    删除system.exe和它在注册表的启动项。

    再删除注册表中HBService32和HBKernel32.sys相关的所有子项和键。

    为了安全，我用XP自带的文件搜索，查找出2008年9月22日 14点49分创建的dll、sys和exe的文件，全部删除。

    因为开机时候是2003年，所以我也把2003年9月22日 14点49分创建的dll、sys和exe的文件，全部删除。

    到此，结束战斗。