一般來(lái)說(shuō)，任何的網(wǎng)絡(luò)攻擊行為，無(wú)論是病毒還是木馬，其發(fā)生的時(shí)候，肯定會(huì)在系統(tǒng)中留下一些痕跡。下面，我談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對(duì)應(yīng)的解決方法?；蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶(hù)，一些幫助。

具體怎么看系統(tǒng)進(jìn)程，我想這里就不用我多說(shuō)了。很多工具都可以查看系統(tǒng)進(jìn)程，最常用的方法就是利用操作系統(tǒng)自帶的任務(wù)管理器進(jìn)行查看。

一、CSRSS進(jìn)程異常

根據(jù)官方的解釋?zhuān)珻SRSS進(jìn)程是Windows圖形相關(guān)控制的客戶(hù)端服務(wù)自系統(tǒng)。正常情況下，在操作系統(tǒng)的任務(wù)進(jìn)程中，必須有這個(gè)進(jìn)程，否則系統(tǒng)就的圖形界面就無(wú)法使用了。但是，這個(gè)進(jìn)程也很有可能被病毒所利用，成為病毒的保護(hù)傘。

若CSRSS進(jìn)程出現(xiàn)了以下的異常情況，那么說(shuō)明你的電腦很可能中毒了。應(yīng)該即使采取措施，否則會(huì)影響操作系統(tǒng)以網(wǎng)絡(luò)的安全。

1、當(dāng)任務(wù)管理器中，出現(xiàn)多個(gè)CSRSS進(jìn)程時(shí)。一般情況下，在操作系統(tǒng)中，只能出現(xiàn)一個(gè)CSRSS進(jìn)程。雖然說(shuō)CSRSS進(jìn)程是必須的，但是，也不是多多益善。當(dāng)任務(wù)管理器中的進(jìn)程顯示出有多個(gè)CSRSS進(jìn)程的話，那么說(shuō)明你的操作系統(tǒng)中招了。

 2、當(dāng)CSRSS進(jìn)程運(yùn)行的用戶(hù)名不是SYSTEM，及其運(yùn)行的模塊路徑不是System32 文件夾下的話，那么你也要當(dāng)心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞，成為影響企業(yè)網(wǎng)絡(luò)安全的一顆定時(shí)炸彈，隨時(shí)都會(huì)爆炸。

3、當(dāng)CSRSS病毒出現(xiàn)在微軟早七的版本中，如98系統(tǒng)或者WINME操作系統(tǒng)的話，那么，也說(shuō)明這個(gè)進(jìn)程是有問(wèn)題的進(jìn)程。因?yàn)镃SRSS進(jìn)程，是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中，沒(méi)有這個(gè)進(jìn)程。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個(gè)進(jìn)程的話，那絕對(duì)是病毒無(wú)疑。

解決方式：

若CSRSS是木馬引起的，那么CSRSS是一個(gè)小的腳本程序?，F(xiàn)在很多木馬都會(huì)用到這個(gè)進(jìn)程，如QQ木馬、傳奇盜號(hào)木馬、MSN木馬、郵件帳號(hào)木馬等等。中了這些木馬的時(shí)候，一般操作系統(tǒng)本身不會(huì)有很大的反映，系統(tǒng)的速度也是正常的，所以比較隱蔽。但是，其危害是很大的。其會(huì)把企業(yè)的一些帳號(hào)，如VPN用戶(hù)名與密碼、即時(shí)通信工具與密碼等等都泄露出去，給企業(yè)的網(wǎng)絡(luò)安全帶來(lái)很大的隱患。

遇到這種這種情況的話，我們應(yīng)該采取如下措施：

1、通過(guò)注冊(cè)表刪除這個(gè)進(jìn)程。因?yàn)槟抉R把這個(gè)進(jìn)程偽裝成系統(tǒng)進(jìn)程，所以，試圖通過(guò)任務(wù)管理器結(jié)束這個(gè)進(jìn)程的時(shí)候，系統(tǒng)會(huì)提示錯(cuò)誤信息，告知這個(gè)進(jìn)程為系統(tǒng)進(jìn)程不能停止。所以，只能夠通過(guò)注冊(cè)表管理器，把這個(gè)進(jìn)程刪除。注意，不要把系統(tǒng)原來(lái)的那個(gè)進(jìn)程給刪除了。所以，還是建議在修改注冊(cè)表之前，先記得備份一下。

2、然后查看進(jìn)程運(yùn)行時(shí)的系統(tǒng)路徑。把該進(jìn)程在注冊(cè)表中刪除后，在任務(wù)管理器中的進(jìn)程處就找不到這個(gè)進(jìn)程了。此時(shí)，找到其原先運(yùn)行的路徑下面，我們就可以看到有一個(gè)CSRSS可執(zhí)行文件。注意，只要不是SYSTEM32，其他的都可以刪除。我們也可以通過(guò)系統(tǒng)自帶的搜索功能，查詢(xún)這個(gè)文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。

3、為了安全起見(jiàn)，升級(jí)我們的殺毒軟件或者網(wǎng)上尋找專(zhuān)殺工具，對(duì)我們的系統(tǒng)進(jìn)行全面的查殺。把病毒殺掉后，要及時(shí)把補(bǔ)丁打上，以防止下次不小心又中招了。

二、LSASS進(jìn)程異常

LSASS進(jìn)程也是微軟操作系統(tǒng)的系統(tǒng)進(jìn)程，其主要用來(lái)管理IP安全策略以及啟動(dòng)ISAKMP/IKE和IP安全驅(qū)動(dòng)程序。這個(gè)進(jìn)程會(huì)產(chǎn)生會(huì)話秘鑰以及授予用戶(hù)交互式客戶(hù)/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)。

一般情況下，若系統(tǒng)進(jìn)程中出現(xiàn)了一個(gè)LSASS進(jìn)程，并且其是以SYSTEM的用戶(hù)運(yùn)行且運(yùn)行目錄是在System32下面，那不用擔(dān)心，是正常的。但是，有時(shí)候這個(gè)進(jìn)程也會(huì)作怪，有些木馬或者病毒也會(huì)假冒這個(gè)進(jìn)程來(lái)欺騙用戶(hù)。

當(dāng)發(fā)生以下異常情況時(shí)，那我們需要注意了，可能我們的操作系統(tǒng)以及網(wǎng)絡(luò)已經(jīng)受到病毒或者木馬的威脅。

1、在系統(tǒng)中出現(xiàn)了多個(gè)LSASS進(jìn)程。一般以大寫(xiě)命名的LSASS進(jìn)程是正常的，是系統(tǒng)進(jìn)程；但是，若同時(shí)還存在一個(gè)小寫(xiě)命名的lsass進(jìn)程的話，那就說(shuō)明你的系統(tǒng)可能已經(jīng)出問(wèn)題了，被病毒或者木馬看中了。

2、若中了ISASS病毒的話，不僅會(huì)在系統(tǒng)進(jìn)程中產(chǎn)生兩個(gè)LSASS進(jìn)程，而且，還會(huì)產(chǎn)生一個(gè)EXERT進(jìn)程。這兩個(gè)進(jìn)程分工合作，共同來(lái)管理LSASS病毒。一般來(lái)說(shuō)，LSASS進(jìn)程控制LSASS病毒的執(zhí)行，而EXERT病毒控制LSASS病毒的退出。所以，若這兩個(gè)進(jìn)程成對(duì)出現(xiàn)的話，那你的系統(tǒng)百分之百的已經(jīng)中了LSASS病毒。

LSASS病毒也是一個(gè)盜號(hào)木馬，其主要運(yùn)行在微軟的操作系統(tǒng)上。以前的版本危害比較小，主要用來(lái)盜取游戲密碼。但是，改良后的LSASS病毒，不僅會(huì)盜取游戲密碼，而且，還會(huì)盜取郵箱、QQ密碼等等，對(duì)于企業(yè)網(wǎng)絡(luò)的安全影響比較大。不法之徒可以利用這個(gè)工具，獲取企業(yè)郵箱等密碼，竊取企業(yè)的機(jī)密，如客戶(hù)發(fā)給企業(yè)的定單等等。LSASS病毒會(huì)記錄鍵盤(pán)信息，最后把用戶(hù)名與密碼信息記錄下來(lái)并發(fā)送到指定的郵箱，從而竊取用戶(hù)的帳號(hào)與密碼等等。所以，危害級(jí)別比較大。

解決方案：

1、結(jié)束LSASS進(jìn)程。因?yàn)樵撨M(jìn)程為系統(tǒng)進(jìn)程（其實(shí)不是，只是偽裝，但是操作系統(tǒng)本身不能識(shí)別），所以，無(wú)法在進(jìn)程管理器中直接停止。我們只能夠通過(guò)注冊(cè)表，或者在DOS窗口中，利用NTSD命令強(qiáng)行停止。NTSD是從微軟的2000以后的操作系統(tǒng)中自帶的用戶(hù)調(diào)試工具。被調(diào)試器附著的進(jìn)程會(huì)隨調(diào)試器的退出而一起退出。所以，可以同這個(gè)命令在命令行窗口下強(qiáng)行終止進(jìn)程。但是，一般情況下，NTSD命令不能殺掉SYSTEM用戶(hù)運(yùn)行的進(jìn)程。不過(guò)還好，LSASS病毒的LSASS進(jìn)程是不是以SYSTEM用戶(hù)運(yùn)行的。從這里我們可以看出，在進(jìn)程管理器中，其結(jié)束進(jìn)程的話，有時(shí)候是按進(jìn)程的名字來(lái)限制的；但是，利用NTSD命令的話，他考慮的是以什么身份進(jìn)行運(yùn)行的。故利用NTSD命令可以停止一些偽裝系統(tǒng)進(jìn)程運(yùn)行的非法進(jìn)程。利用這個(gè)命令，也可以禁止上面談的CSRSS非法進(jìn)程。當(dāng)然，以SYSTEM運(yùn)行的合法系統(tǒng)進(jìn)程是結(jié)束不掉的。具體的命令為ntsd –c q –p 進(jìn)程ID.通過(guò)進(jìn)程管理器,可以查到非法進(jìn)程的ID,就可以通過(guò)這個(gè)命令禁止掉了。

2、刪除病毒文件。LSASS病毒會(huì)在其他盤(pán)下生成兩個(gè)文件，分別為Autorun.inf與command.com文件。一般這兩個(gè)文件的屬性是隱藏的。所以，我們需要把文件的顯示屬性設(shè)置為“顯示隱藏文件與系統(tǒng)文件”才會(huì)看到這個(gè)兩個(gè)文件。找到他們，然后把他們刪除。

同時(shí)，在啟動(dòng)盤(pán)下，可能會(huì)有一些病毒文件，如EXERT.EXE等，我們也要把他們一一找出來(lái)，刪除掉。不然的話，下次還是會(huì)中招。

3、修復(fù)注冊(cè)表。這個(gè)病毒在注冊(cè)表中會(huì)生成比較多的垃圾，所以，若是手工清除的話，一方面，不一定能夠全部清除干凈，另一方面，也可能一不小心，產(chǎn)生一些錯(cuò)誤。此時(shí)，我們最好利用我們最近備份的注冊(cè)表備份文件，直接進(jìn)行恢復(fù)。

4、從網(wǎng)上下載專(zhuān)殺工具或者升級(jí)我們的殺毒軟件，進(jìn)行全面的查殺。

5、為了安全起見(jiàn)，需要提醒我們的員工，及時(shí)更改我們的帳戶(hù)密碼。因?yàn)橛脩?hù) 的密碼很可能已經(jīng)泄露出去。如果不及時(shí)把密碼改過(guò)來(lái)的話，不法分子可以利用他們已經(jīng)得到的用戶(hù)名與密碼，進(jìn)行一些非法的勾當(dāng)。

以上這兩種進(jìn)程都是盜號(hào)木馬的工具。對(duì)于這些盜號(hào)木馬進(jìn)程，一般情況下，不會(huì)對(duì)系統(tǒng)運(yùn)行造成什么影響。所以，相對(duì)來(lái)說(shuō)，比較隱蔽。但是，其危害性，確實(shí)比其他病毒大的多。有些病毒只是惡作劇的性質(zhì)，最多只是讓操作系統(tǒng)崩潰或者造成網(wǎng)絡(luò)擁塞。而企業(yè)的文件、帳戶(hù)信息等不會(huì)泄露出去。所以，這些惡作劇的病毒危害性反而小一點(diǎn)。

所以，為了保障企業(yè)網(wǎng)絡(luò)的安全，最好的辦法還是部署企業(yè)級(jí)別的殺毒系統(tǒng)。如此的話，可以實(shí)現(xiàn)在用戶(hù)不用干預(yù)的情況下，對(duì)殺毒軟件進(jìn)行及時(shí)的升級(jí)，防止病毒與木馬入侵。

一般來(lái)說(shuō)，任何的網(wǎng)絡(luò)攻擊行為，無(wú)論是病毒還是木馬，其發(fā)生的時(shí)候，肯定會(huì)在系統(tǒng)中留下一些痕跡。我接著談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對(duì)應(yīng)的解決方法?；蛟S能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶(hù)，一些幫助。

三、SMSS進(jìn)程異常

SMSS進(jìn)程是會(huì)話管理子系統(tǒng)的進(jìn)程，他主要用來(lái)初始化系統(tǒng)變量。正常情況下，他是以系統(tǒng)用戶(hù)名（system）身份運(yùn)行，并且運(yùn)行目錄是在SYSTEM32下面。這個(gè)進(jìn)程是通過(guò)系統(tǒng)進(jìn)程初始化的并且對(duì)許多活動(dòng)的系統(tǒng)變量作出反映。其實(shí)這個(gè)進(jìn)程我們平時(shí)也經(jīng)常會(huì)感受到。當(dāng)某個(gè)程序發(fā)生異常時(shí)，SMSS進(jìn)程就會(huì)讓系統(tǒng)停止響應(yīng)。有時(shí)候我們?cè)诰W(wǎng)上沖浪系統(tǒng)突然提示網(wǎng)頁(yè)發(fā)生錯(cuò)誤將關(guān)閉，就跟這個(gè)進(jìn)程有關(guān)系。這個(gè)進(jìn)程的正常運(yùn)行，對(duì)于系統(tǒng)穩(wěn)定性來(lái)說(shuō)，是非常重要的。

但是，這個(gè)系統(tǒng)進(jìn)程也被不法之人利用了。若你在任務(wù)管理器中發(fā)現(xiàn)以下異?，F(xiàn)象，那么就要恭喜你了，你中木馬了。

異?，F(xiàn)象：

1、不是以系統(tǒng)用戶(hù)名（system）身份運(yùn)行的，并且，運(yùn)行目錄不是SYSTEM32下面的，那么就說(shuō)明這個(gè)進(jìn)程有異常。我們要注意，若是系統(tǒng)的正常的SMSS進(jìn)程，一定是以系統(tǒng)用戶(hù)名運(yùn)行的，并且，一定是在SYSTEM32目錄下運(yùn)行。否則的話，就不是系統(tǒng)本身的SMSS進(jìn)程，很可能是木馬偽造的進(jìn)程。

2、在系統(tǒng)中有同時(shí)出現(xiàn)兩個(gè)或者兩個(gè)以上SMSS進(jìn)程，那么你就要注意了，你電腦很可能中了木馬。

現(xiàn)在最常見(jiàn)的SMSS進(jìn)程異常是由WIN32.LADEX.A木馬所造成的。這個(gè)木馬病毒危害很大，他不僅允許攻擊者訪問(wèn)你的電腦，而且，還會(huì)竊取你的機(jī)密文件與個(gè)人密碼。這個(gè)危害性是很大的。根據(jù)官方的建議，若發(fā)現(xiàn)這個(gè)進(jìn)程異常的話，要馬上刪除這個(gè)進(jìn)程，并進(jìn)行殺毒工作。

這個(gè)木馬若手工刪除的話，非常的麻煩。以前有一電腦中了這個(gè)木馬，整整花了一天的時(shí)間，刪除關(guān)聯(lián)文件，修改注冊(cè)表，才清除干凈。一般不建議手工刪除這個(gè)木馬，太麻煩，而且比較專(zhuān)業(yè)，要求對(duì)這個(gè)病毒有比較徹底的認(rèn)識(shí)與了解。若發(fā)現(xiàn)這個(gè)進(jìn)程異常時(shí)，建議采取如下操作：

1)、在任務(wù)管理器下，馬上關(guān)閉這個(gè)進(jìn)程。有時(shí)候，可能利用系統(tǒng)的進(jìn)程管理器還不能關(guān)閉這個(gè)進(jìn)程，需要在安全模式下，才能關(guān)閉。所以，我們的第一要?jiǎng)?wù)，就是想盡一切可以想的辦法，把這個(gè)進(jìn)程先結(jié)束掉，如此，我們才可以做其他的工作。

2)、在殺毒軟件網(wǎng)站上，找這個(gè)木馬的專(zhuān)殺工具。這個(gè)病毒其關(guān)聯(lián)的范圍太廣，若手工刪除的話，太浪費(fèi)時(shí)間，一不小心的話，那邊還會(huì)剩下漏網(wǎng)之雨。即使熟悉這個(gè)木馬的人，要把木馬清除干凈的話，若沒(méi)有半天的時(shí)間估計(jì)也搞不定。而且，因?yàn)橐薷淖?cè)表等信息，所以手工修改也會(huì)發(fā)生錯(cuò)誤。我的建議是，從網(wǎng)上尋找一個(gè)轉(zhuǎn)殺工具，用來(lái)查殺一下就可以了。

3)、利用專(zhuān)殺工具殺掉病毒后，要提醒中木馬電腦的用戶(hù)，要及時(shí)修改密碼。如用戶(hù)郵箱、QQ等即時(shí)通信工具的密碼；若在這臺(tái)電腦上使用過(guò)網(wǎng)上銀行的話，還要修改這個(gè)網(wǎng)上銀行的密碼。因?yàn)檫@些信息很可能在用戶(hù)不知情的情況下，就已經(jīng)被攻擊者所獲取。所以，不怕一萬(wàn)，就怕萬(wàn)一，要即使修改這些信息，防止被攻擊者非法利用。

四、Winlogon進(jìn)程異常

這個(gè)進(jìn)程是微軟操作系統(tǒng)的用戶(hù)登陸程序，管理用戶(hù)的登陸與退出。該進(jìn)程正常運(yùn)行路徑已經(jīng)為SYSTEM32路徑下并且是以SYSTEM系統(tǒng)身份用戶(hù)運(yùn)行。

但是，不幸的是，這個(gè)進(jìn)程已經(jīng)被落雪木馬看中。

進(jìn)程異?，F(xiàn)象：

當(dāng)你打開(kāi)系統(tǒng)進(jìn)程查看器查看你的系統(tǒng)進(jìn)程時(shí)，若你發(fā)現(xiàn)你的系統(tǒng)中有個(gè)大寫(xiě)的WINLOGON進(jìn)程并且該進(jìn)程不是以SYSTEM系統(tǒng)用戶(hù)名身份運(yùn)行，而是當(dāng)前帳戶(hù)身份運(yùn)行的話，那你就中了這個(gè)所謂的落雪病毒。 這個(gè)病毒很頑固，而且，也很狡猾，這個(gè)木馬是由VB程序語(yǔ)言編寫(xiě)，通過(guò)北斗殼技術(shù)進(jìn)行加殼處理。病毒文件名被模擬成正常的系統(tǒng)工具名稱(chēng)，但是，文件擴(kuò)展名變成了COM，而正常的系統(tǒng)進(jìn)程是以EXE結(jié)尾的。這是落雪木馬利用了微軟操作系統(tǒng)的一個(gè)特性。

當(dāng)有兩個(gè)文件，如A.EXE與A.COM兩個(gè)文件。這個(gè)兩個(gè)文件都是可執(zhí)行文件，而且，文件名相同，只是擴(kuò)展名不同。此時(shí)，我們?nèi)粼诿钚兄?，輸入A運(yùn)行A程序時(shí)，系統(tǒng)會(huì)優(yōu)先執(zhí)行A.COM程序。這是為什么呢？原來(lái)微軟操作系統(tǒng)執(zhí)行COM文件的優(yōu)先級(jí)別要比執(zhí)行EXE的文件級(jí)別高。

如此，當(dāng)用戶(hù)在命令行中輸入A，此時(shí)，系統(tǒng)運(yùn)行的不是系統(tǒng)征程的進(jìn)程或者程序，而是木馬病毒。該病毒在運(yùn)行時(shí)，還會(huì)創(chuàng)建一個(gè)WINLOGON.EXE進(jìn)程，所以，我們查看進(jìn)程管理器的時(shí)候，會(huì)發(fā)現(xiàn)有兩個(gè)WINLOGON進(jìn)程。只是一個(gè)是大寫(xiě)名字，一個(gè)是小寫(xiě)名字。另外運(yùn)行的用戶(hù)與路徑也有差異。

另外該病毒還會(huì)修改注冊(cè)表文件關(guān)聯(lián)，每次當(dāng)用戶(hù)打開(kāi)HTML的文件時(shí)，都會(huì)觸發(fā)這個(gè)病毒。并且，該病毒還會(huì)在我們系統(tǒng)的其他盤(pán)下面，生成兩個(gè)隱藏文件，autorun.inf與pagefile.com文件。這兩個(gè)文件，一看擴(kuò)展名，就知道不是善類(lèi)。這兩個(gè)文件是自動(dòng)運(yùn)行批處理文件，這樣即使系統(tǒng)盤(pán)下面的病毒文件被刪除了，但是，當(dāng)用戶(hù)打開(kāi)其他盤(pán)，如D盤(pán)時(shí)，這個(gè)病毒仍然會(huì)運(yùn)行。所以，這個(gè)病毒在“殺不死的病毒”排行榜上，是名列前茅的。

遇到這個(gè)病毒時(shí)，我們?cè)撛趺崔k呢？

這個(gè)病毒牽涉的范圍跟上面這個(gè)病毒一樣，是非常的廣。在系統(tǒng)盤(pán)中、注冊(cè)表中及其他盤(pán)上都有涉及到，所以，若靠手工刪除病毒的話，很難清除干凈。我的建議還是依靠采用專(zhuān)門(mén)的殺毒軟件或者專(zhuān)殺工具來(lái)對(duì)付他。所以當(dāng)我們發(fā)現(xiàn)這個(gè)病毒時(shí)，為了安全起見(jiàn)，最好把這中木馬的主機(jī)從局域網(wǎng)上斷掉，然后在其他正常的主機(jī)上，從網(wǎng)上找到病毒的專(zhuān)殺工具，然后通過(guò)U盤(pán)等工具，拷過(guò)來(lái)，把病毒殺掉。不過(guò)，若用U盤(pán)等工具拷貝的話，要注意，最好把U盤(pán)設(shè)置為只讀，也就是打開(kāi)寫(xiě)保護(hù)，如此的話，U盤(pán)就不會(huì)被感染病毒。

五、svohost進(jìn)程

你能夠一眼看出 svohost與svchost這兩個(gè)單詞的區(qū)別嗎？要是不特別提醒，你不會(huì)知道這里還隱藏著什么密碼。

一次我有一個(gè)同事電腦出現(xiàn)了問(wèn)題，我過(guò)去一看，運(yùn)行速度很慢，估計(jì)是中了病毒。我想看看系統(tǒng)中是否多了很多隱藏的文件，如在其他盤(pán)根目錄下是否多了隱藏的批處理文件。可是當(dāng)我通過(guò)工具欄那邊想把隱藏文件顯示出來(lái)的時(shí)候，才發(fā)現(xiàn)居然沒(méi)有這個(gè)選項(xiàng)，我現(xiàn)在所有的隱藏文件都看不到了。這是怎么回事情呢？其實(shí)，這就是這個(gè)svohost（注意不是svchost進(jìn)程）進(jìn)程在作怪。

Svchost是一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)連接庫(kù)主機(jī)處理服務(wù)，它包含很多系統(tǒng)服務(wù)。有些病毒就利用用戶(hù)粗心大意的態(tài)度，通過(guò)偽裝，另外開(kāi)了一個(gè)新的進(jìn)程SCOHOST。兩個(gè)進(jìn)程只有一字只差，而且，這個(gè)兩個(gè)字符C與O又非常相似，不仔細(xì)看，還真看不出來(lái)。 一般中這個(gè)病毒的癥狀是盤(pán)打不開(kāi)，而且不能查看隱藏文件。若你不幸有這兩種癥狀，并且，在進(jìn)程管理器中，有SVOHOST進(jìn)程的話，那就說(shuō)明你中招了。要趕緊想辦法處理了。

因?yàn)橛袝r(shí)候在你沒(méi)裝殺毒軟件之前，中了這個(gè)病毒的話，他就會(huì)影響你殺毒軟件的安裝過(guò)程。也就是說(shuō)，你中了這個(gè)病毒之后，再裝殺毒軟件的話，那么你可能就裝不上。此時(shí)，除了重新安裝系統(tǒng)之外，還有其他的解決方法嗎？

我們的思路是先手工的把病毒刪除，然后再按照殺毒軟件進(jìn)行病毒查殺。所以現(xiàn)在首要的問(wèn)題就是如何手工的殺除這個(gè)病毒。

1、關(guān)閉病毒進(jìn)程。由于SVOHOST進(jìn)程雖然跟系統(tǒng)進(jìn)程比較像，但是畢竟只是像而已，而不是系統(tǒng)進(jìn)程。所以，可以通過(guò)系統(tǒng)的進(jìn)程管理器把這個(gè)病毒直接關(guān)閉掉。只是在關(guān)的時(shí)候，我們不要看花了眼，要選擇真正的我們需要關(guān)閉的進(jìn)程SVOHOST，而不是svchost。

2、修改注冊(cè)表，把隱藏文件顯示出來(lái)。我們可以在注冊(cè)表中進(jìn)行修改，讓其顯示文件性質(zhì)為隱藏的文件。這里我們要注意，病毒會(huì)把注冊(cè)表中本來(lái)有效的值刪除掉，新建了一個(gè)無(wú)效的字符串。所以，在修改注冊(cè)表顯示隱藏文件的時(shí)候，要先把病毒新建的無(wú)效字符串去掉，然后把其原來(lái)的字段加進(jìn)去。這可見(jiàn)這個(gè)病毒是花了很大心思的。

3、手工刪除病毒。把隱藏文件顯示出來(lái)后，我們就要手工的刪除病毒文件。用鼠標(biāo)又鍵電腦中年的盤(pán)符，選擇打開(kāi)。注意，這里不要直接雙擊打開(kāi)電腦，否則的話，又會(huì)激活這個(gè)病毒。打開(kāi)盤(pán)后，我們看到在盤(pán)符下面，有幾個(gè)隱藏文件，把他們刪除掉。

然后我們就可以正常安裝殺毒軟件進(jìn)行殺毒了。這里要注意，我們經(jīng)過(guò)了第三步后，并沒(méi)有把病毒全部刪除干凈。最后仍然要依靠殺毒軟件來(lái)對(duì)病毒進(jìn)行全面的查殺。