如何从异常系统进程 检查企业网络安全（3）

另外该病毒还会修改注册表文件关联，每次当用户打开HTML的文件时，都会触发这个病毒。并且，该病毒还会在我们系统的其他盘下面，生成两个隐藏文 件，autorun.inf与pagefile.com文件。这两个文件，一看扩展名，就知道不是善类。这两个文件是自动运行批处理文件，这样即使系统盘 下面的病毒文件被删除了，但是，当用户打开其他盘，如D盘时，这个病毒仍然会运行。所以，这个病毒在“杀不死的病毒”排行榜上，是名列前茅的。

    遇到这个病毒时，我们该怎么办呢？

    这个病毒牵涉的范围跟上面这个病毒一样，是非常的广。在系统盘中、注册表中及其他盘上都有涉及到，所以，若靠手工删除病毒的话，很难清除干净。我的建议还 是依靠采用专门的杀毒软件或者专杀工具来对付他。所以当我们发现这个病毒时，为了安全起见，最好把这中木马的主机从局域网上断掉，然后在其他正常的主机 上，从网上找到病毒的专杀工具，然后通过U盘等工具，拷过来，把病毒杀掉。不过，若用U盘等工具拷贝的话，要注意，最好把U盘设置为只读，也就是打开写保 护，如此的话，U盘就不会被感染病毒。

    五、svohost进程

    你能够一眼看出 svohost与svchost这两个单词的区别吗？要是不特别提醒，你不会知道这里还隐藏着什么密码。

    一次我有一个同事电脑出现了问题，我过去一看，运行速度很慢，估计是中了病毒。我想看看系统中是否多了很多隐藏的文件，如在其他盘根目录下是否多了隐藏的 批处理文件。可是当我通过工具栏那边想把隐藏文件显示出来的时候，才发现居然没有这个选项，我现在所有的隐藏文件都看不到了。这是怎么回事情呢？其实，这 就是这个svohost（注意不是svchost进程）进程在作怪。

    Svchost是一个标准的动态连接库主机处理服务，它包含很多系统服务。有些病毒就利用用户粗心大意的态度，通过伪装，另外开了一个新的进程 SCOHOST。两个进程只有一字只差，而且，这个两个字符C与O又非常相似，不仔细看，还真看不出来。 一般中这个病毒的症状是盘打不开，而且不能查看隐藏文件。若你不幸有这两种症状，并且，在进程管理器中，有SVOHOST进程的话，那就说明你中招了。要 赶紧想办法处理了。

    因为有时候在你没装杀毒软件之前，中了这个病毒的话，他就会影响你杀毒软件的安装过程。也就是说，你中了这个病毒之后，再装杀毒软件的话，那么你可能就装不上。此时，除了重新安装系统之外，还有其他的解决方法吗？

    我们的思路是先手工的把病毒删除，然后再按照杀毒软件进行病毒查杀。所以现在首要的问题就是如何手工的杀除这个病毒。

    1、关闭病毒进程。由于SVOHOST进程虽然跟系统进程比较像，但是毕竟只是像而已，而不是系统进程。所以，可以通过系统的进程管理器把这个病毒直接关 闭掉。只是在关的时候，我们不要看花了眼，要选择真正的我们需要关闭的进程SVOHOST，而不是svchost。

    2、修改注册表，把隐藏文件显示出来。我们可以在注册表中进行修改，让其显示文件性质为隐藏的文件。这里我们要注意，病毒会把注册表中本来有效的值删除 掉，新建了一个无效的字符串。所以，在修改注册表显示隐藏文件的时候，要先把病毒新建的无效字符串去掉，然后把其原来的字段加进去。这可见这个病毒是花了 很大心思的。

    3、手工删除病毒。把隐藏文件显示出来后，我们就要手工的删除病毒文件。用鼠标又键电脑中年的盘符，选择打开。注意，这里不要直接双击打开电脑，否则的话，又会激活这个病毒。打开盘后，我们看到在盘符下面，有几个隐藏文件，把他们删除掉。

    然后我们就可以正常安装杀毒软件进行杀毒了。这里要注意，我们经过了第三步后，并没有把病毒全部删除干净。最后仍然要依靠杀毒软件来对病毒进行全面的查杀。