如何处理进程中映像名为“NTDETECT.EXE”的文件

到别人机子上将正常的NTDETECT.COM备份在自己机子上一个安全的目录下（比如d:\tmp）。打开运行，并在其中输入gpedit.msc。回车确认后，“组策略”将被打开。选中“计算机配置”—> “Windows设置”—> “脚本（启动/关闭）”这一项，在右边双击“关机”。选择添加关机脚本，然后输入脚本名（此处是shut.bat）。在出现图7时点“浏览”，再在出现的对话框中将文件类型选为所有类型，再右击对话框的空白处，新建一个文本文档，再将新建文件命名为shut.bat，接下来右击shut.bat，选择编辑。在里面输入：
attrib c:\ntdetest.com -s -h -r
copy d:\tmp\ntdetest.com c:\ntdetest.com/f
attrib c:\ntdetest.com +s +h +r
最后保存退出。另外顺便说一下，在命名新建的文档文本之前，一定要在“文件夹选项”—>“查看”中把
“隐藏已知文件类型扩展名”这一项前面的勾去掉。这样一来，每次关机时系统都会用一个正常的NTDETECT.COM来覆盖C盘下的原文件。因此，即使用户在线时，正常的NTDETECT.COM被恶意代码所覆盖，关机时正常的程序会被还原，下次启动时就不存在恶意代码问题了。而且再次感染该病毒也不怕！
另外，建议你换一种杀毒软件试一下！

NTDETECT.EXE的病毒。这种病毒会进入C盘根目录并形成一个NTDETECT.EXE文件；而在默认情况下，Windows系统是不显示扩展名的（就是把NTDETECT.EXE以及NTDETECT.COM都显示为NTDETECT），如此一来，这个病毒就伪装成了系统文件（用户在C盘下会看到两个NTDETECT文件，NTDETECT.EXE就伪装成了NTDETECT.COM

试试这样,在工具>>文件夹选项>>查看>>
“隐藏已知文件类型扩展名”这一项前面的勾去掉

这样一来，每次关机时系统都会用一个正常的NTDETECT.COM来覆盖C盘下的原文件。因此，即使用户在线时，正常的NTDETECT.