一般來說，任何的網(wǎng)絡(luò)攻擊行為，無論是病毒還是木馬，其發(fā)生的時(shí)候，肯定會(huì)在系統(tǒng)中留下一些痕跡。下面，我談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對應(yīng)的解決方法。或許能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶，一些幫助。

具體怎么看系統(tǒng)進(jìn)程，我想這里就不用我多說了。很多工具都可以查看系統(tǒng)進(jìn)程，最常用的方法就是利用操作系統(tǒng)自帶的任務(wù)管理器進(jìn)行查看。

一、CSRSS進(jìn)程異常

根據(jù)官方的解釋，CSRSS進(jìn)程是Windows圖形相關(guān)控制的客戶端服務(wù)自系統(tǒng)。正常情況下，在操作系統(tǒng)的任務(wù)進(jìn)程中，必須有這個(gè)進(jìn)程，否則系統(tǒng)就的圖形界面就無法使用了。但是，這個(gè)進(jìn)程也很有可能被病毒所利用，成為病毒的保護(hù)傘。

若CSRSS進(jìn)程出現(xiàn)了以下的異常情況，那么說明你的電腦很可能中毒了。應(yīng)該即使采取措施，否則會(huì)影響操作系統(tǒng)以網(wǎng)絡(luò)的安全。

1、當(dāng)任務(wù)管理器中，出現(xiàn)多個(gè)CSRSS進(jìn)程時(shí)。一般情況下，在操作系統(tǒng)中，只能出現(xiàn)一個(gè)CSRSS進(jìn)程。雖然說CSRSS進(jìn)程是必須的，但是，也不是多多益善。當(dāng)任務(wù)管理器中的進(jìn)程顯示出有多個(gè)CSRSS進(jìn)程的話，那么說明你的操作系統(tǒng)中招了。

 2、當(dāng)CSRSS進(jìn)程運(yùn)行的用戶名不是SYSTEM，及其運(yùn)行的模塊路徑不是System32 文件夾下的話，那么你也要當(dāng)心了。很可能你電腦已經(jīng)成為了黑客眼中的肉雞，成為影響企業(yè)網(wǎng)絡(luò)安全的一顆定時(shí)炸彈，隨時(shí)都會(huì)爆炸。

3、當(dāng)CSRSS病毒出現(xiàn)在微軟早七的版本中，如98系統(tǒng)或者WINME操作系統(tǒng)的話，那么，也說明這個(gè)進(jìn)程是有問題的進(jìn)程。因?yàn)镃SRSS進(jìn)程，是微軟操作系統(tǒng)2000以后的產(chǎn)物。在以前的操作系統(tǒng)中，沒有這個(gè)進(jìn)程。若不幸在以前的操作系統(tǒng)的版本中發(fā)現(xiàn)這個(gè)進(jìn)程的話，那絕對是病毒無疑。

解決方式：

若CSRSS是木馬引起的，那么CSRSS是一個(gè)小的腳本程序。現(xiàn)在很多木馬都會(huì)用到這個(gè)進(jìn)程，如QQ木馬、傳奇盜號木馬、MSN木馬、郵件帳號木馬等等。中了這些木馬的時(shí)候，一般操作系統(tǒng)本身不會(huì)有很大的反映，系統(tǒng)的速度也是正常的，所以比較隱蔽。但是，其危害是很大的。其會(huì)把企業(yè)的一些帳號，如VPN用戶名與密碼、即時(shí)通信工具與密碼等等都泄露出去，給企業(yè)的網(wǎng)絡(luò)安全帶來很大的隱患。

遇到這種這種情況的話，我們應(yīng)該采取如下措施：

1、通過注冊表刪除這個(gè)進(jìn)程。因?yàn)槟抉R把這個(gè)進(jìn)程偽裝成系統(tǒng)進(jìn)程，所以，試圖通過任務(wù)管理器結(jié)束這個(gè)進(jìn)程的時(shí)候，系統(tǒng)會(huì)提示錯(cuò)誤信息，告知這個(gè)進(jìn)程為系統(tǒng)進(jìn)程不能停止。所以，只能夠通過注冊表管理器，把這個(gè)進(jìn)程刪除。注意，不要把系統(tǒng)原來的那個(gè)進(jìn)程給刪除了。所以，還是建議在修改注冊表之前，先記得備份一下。

2、然后查看進(jìn)程運(yùn)行時(shí)的系統(tǒng)路徑。把該進(jìn)程在注冊表中刪除后，在任務(wù)管理器中的進(jìn)程處就找不到這個(gè)進(jìn)程了。此時(shí)，找到其原先運(yùn)行的路徑下面，我們就可以看到有一個(gè)CSRSS可執(zhí)行文件。注意，只要不是SYSTEM32，其他的都可以刪除。我們也可以通過系統(tǒng)自帶的搜索功能，查詢這個(gè)文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。

3、為了安全起見，升級我們的殺毒軟件或者網(wǎng)上尋找專殺工具，對我們的系統(tǒng)進(jìn)行全面的查殺。把病毒殺掉后，要及時(shí)把補(bǔ)丁打上，以防止下次不小心又中招了。

二、LSASS進(jìn)程異常

LSASS進(jìn)程也是微軟操作系統(tǒng)的系統(tǒng)進(jìn)程，其主要用來管理IP安全策略以及啟動(dòng)ISAKMP/IKE和IP安全驅(qū)動(dòng)程序。這個(gè)進(jìn)程會(huì)產(chǎn)生會(huì)話秘鑰以及授予用戶交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)。

一般情況下，若系統(tǒng)進(jìn)程中出現(xiàn)了一個(gè)LSASS進(jìn)程，并且其是以SYSTEM的用戶運(yùn)行且運(yùn)行目錄是在System32下面，那不用擔(dān)心，是正常的。但是，有時(shí)候這個(gè)進(jìn)程也會(huì)作怪，有些木馬或者病毒也會(huì)假冒這個(gè)進(jìn)程來欺騙用戶。

當(dāng)發(fā)生以下異常情況時(shí)，那我們需要注意了，可能我們的操作系統(tǒng)以及網(wǎng)絡(luò)已經(jīng)受到病毒或者木馬的威脅。

1、在系統(tǒng)中出現(xiàn)了多個(gè)LSASS進(jìn)程。一般以大寫命名的LSASS進(jìn)程是正常的，是系統(tǒng)進(jìn)程；但是，若同時(shí)還存在一個(gè)小寫命名的lsass進(jìn)程的話，那就說明你的系統(tǒng)可能已經(jīng)出問題了，被病毒或者木馬看中了。

2、若中了ISASS病毒的話，不僅會(huì)在系統(tǒng)進(jìn)程中產(chǎn)生兩個(gè)LSASS進(jìn)程，而且，還會(huì)產(chǎn)生一個(gè)EXERT進(jìn)程。這兩個(gè)進(jìn)程分工合作，共同來管理LSASS病毒。一般來說，LSASS進(jìn)程控制LSASS病毒的執(zhí)行，而EXERT病毒控制LSASS病毒的退出。所以，若這兩個(gè)進(jìn)程成對出現(xiàn)的話，那你的系統(tǒng)百分之百的已經(jīng)中了LSASS病毒。

LSASS病毒也是一個(gè)盜號木馬，其主要運(yùn)行在微軟的操作系統(tǒng)上。以前的版本危害比較小，主要用來盜取游戲密碼。但是，改良后的LSASS病毒，不僅會(huì)盜取游戲密碼，而且，還會(huì)盜取郵箱、QQ密碼等等，對于企業(yè)網(wǎng)絡(luò)的安全影響比較大。不法之徒可以利用這個(gè)工具，獲取企業(yè)郵箱等密碼，竊取企業(yè)的機(jī)密，如客戶發(fā)給企業(yè)的定單等等。LSASS病毒會(huì)記錄鍵盤信息，最后把用戶名與密碼信息記錄下來并發(fā)送到指定的郵箱，從而竊取用戶的帳號與密碼等等。所以，危害級別比較大。

解決方案：

1、結(jié)束LSASS進(jìn)程。因?yàn)樵撨M(jìn)程為系統(tǒng)進(jìn)程（其實(shí)不是，只是偽裝，但是操作系統(tǒng)本身不能識別），所以，無法在進(jìn)程管理器中直接停止。我們只能夠通過注冊表，或者在DOS窗口中，利用NTSD命令強(qiáng)行停止。NTSD是從微軟的2000以后的操作系統(tǒng)中自帶的用戶調(diào)試工具。被調(diào)試器附著的進(jìn)程會(huì)隨調(diào)試器的退出而一起退出。所以，可以同這個(gè)命令在命令行窗口下強(qiáng)行終止進(jìn)程。但是，一般情況下，NTSD命令不能殺掉SYSTEM用戶運(yùn)行的進(jìn)程。不過還好，LSASS病毒的LSASS進(jìn)程是不是以SYSTEM用戶運(yùn)行的。從這里我們可以看出，在進(jìn)程管理器中，其結(jié)束進(jìn)程的話，有時(shí)候是按進(jìn)程的名字來限制的；但是，利用NTSD命令的話，他考慮的是以什么身份進(jìn)行運(yùn)行的。故利用NTSD命令可以停止一些偽裝系統(tǒng)進(jìn)程運(yùn)行的非法進(jìn)程。利用這個(gè)命令，也可以禁止上面談的CSRSS非法進(jìn)程。當(dāng)然，以SYSTEM運(yùn)行的合法系統(tǒng)進(jìn)程是結(jié)束不掉的。具體的命令為ntsd –c q –p 進(jìn)程ID.通過進(jìn)程管理器,可以查到非法進(jìn)程的ID,就可以通過這個(gè)命令禁止掉了。

2、刪除病毒文件。LSASS病毒會(huì)在其他盤下生成兩個(gè)文件，分別為Autorun.inf與command.com文件。一般這兩個(gè)文件的屬性是隱藏的。所以，我們需要把文件的顯示屬性設(shè)置為“顯示隱藏文件與系統(tǒng)文件”才會(huì)看到這個(gè)兩個(gè)文件。找到他們，然后把他們刪除。

同時(shí)，在啟動(dòng)盤下，可能會(huì)有一些病毒文件，如EXERT.EXE等，我們也要把他們一一找出來，刪除掉。不然的話，下次還是會(huì)中招。

3、修復(fù)注冊表。這個(gè)病毒在注冊表中會(huì)生成比較多的垃圾，所以，若是手工清除的話，一方面，不一定能夠全部清除干凈，另一方面，也可能一不小心，產(chǎn)生一些錯(cuò)誤。此時(shí)，我們最好利用我們最近備份的注冊表備份文件，直接進(jìn)行恢復(fù)。

4、從網(wǎng)上下載專殺工具或者升級我們的殺毒軟件，進(jìn)行全面的查殺。

5、為了安全起見，需要提醒我們的員工，及時(shí)更改我們的帳戶密碼。因?yàn)橛脩?的密碼很可能已經(jīng)泄露出去。如果不及時(shí)把密碼改過來的話，不法分子可以利用他們已經(jīng)得到的用戶名與密碼，進(jìn)行一些非法的勾當(dāng)。

以上這兩種進(jìn)程都是盜號木馬的工具。對于這些盜號木馬進(jìn)程，一般情況下，不會(huì)對系統(tǒng)運(yùn)行造成什么影響。所以，相對來說，比較隱蔽。但是，其危害性，確實(shí)比其他病毒大的多。有些病毒只是惡作劇的性質(zhì)，最多只是讓操作系統(tǒng)崩潰或者造成網(wǎng)絡(luò)擁塞。而企業(yè)的文件、帳戶信息等不會(huì)泄露出去。所以，這些惡作劇的病毒危害性反而小一點(diǎn)。

所以，為了保障企業(yè)網(wǎng)絡(luò)的安全，最好的辦法還是部署企業(yè)級別的殺毒系統(tǒng)。如此的話，可以實(shí)現(xiàn)在用戶不用干預(yù)的情況下，對殺毒軟件進(jìn)行及時(shí)的升級，防止病毒與木馬入侵。

一般來說，任何的網(wǎng)絡(luò)攻擊行為，無論是病毒還是木馬，其發(fā)生的時(shí)候，肯定會(huì)在系統(tǒng)中留下一些痕跡。我接著談?wù)勎覀內(nèi)绾螐南到y(tǒng)進(jìn)程中查看我們的網(wǎng)絡(luò)及操作系統(tǒng)是否正在遭受病毒或者木馬的侵襲，及對應(yīng)的解決方法。或許能夠給正在遭受網(wǎng)絡(luò)安全困擾的用戶，一些幫助。

三、SMSS進(jìn)程異常

SMSS進(jìn)程是會(huì)話管理子系統(tǒng)的進(jìn)程，他主要用來初始化系統(tǒng)變量。正常情況下，他是以系統(tǒng)用戶名（system）身份運(yùn)行，并且運(yùn)行目錄是在SYSTEM32下面。這個(gè)進(jìn)程是通過系統(tǒng)進(jìn)程初始化的并且對許多活動(dòng)的系統(tǒng)變量作出反映。其實(shí)這個(gè)進(jìn)程我們平時(shí)也經(jīng)常會(huì)感受到。當(dāng)某個(gè)程序發(fā)生異常時(shí)，SMSS進(jìn)程就會(huì)讓系統(tǒng)停止響應(yīng)。有時(shí)候我們在網(wǎng)上沖浪系統(tǒng)突然提示網(wǎng)頁發(fā)生錯(cuò)誤將關(guān)閉，就跟這個(gè)進(jìn)程有關(guān)系。這個(gè)進(jìn)程的正常運(yùn)行，對于系統(tǒng)穩(wěn)定性來說，是非常重要的。

但是，這個(gè)系統(tǒng)進(jìn)程也被不法之人利用了。若你在任務(wù)管理器中發(fā)現(xiàn)以下異常現(xiàn)象，那么就要恭喜你了，你中木馬了。

異常現(xiàn)象：

1、不是以系統(tǒng)用戶名（system）身份運(yùn)行的，并且，運(yùn)行目錄不是SYSTEM32下面的，那么就說明這個(gè)進(jìn)程有異常。我們要注意，若是系統(tǒng)的正常的SMSS進(jìn)程，一定是以系統(tǒng)用戶名運(yùn)行的，并且，一定是在SYSTEM32目錄下運(yùn)行。否則的話，就不是系統(tǒng)本身的SMSS進(jìn)程，很可能是木馬偽造的進(jìn)程。

2、在系統(tǒng)中有同時(shí)出現(xiàn)兩個(gè)或者兩個(gè)以上SMSS進(jìn)程，那么你就要注意了，你電腦很可能中了木馬。

現(xiàn)在最常見的SMSS進(jìn)程異常是由WIN32.LADEX.A木馬所造成的。這個(gè)木馬病毒危害很大，他不僅允許攻擊者訪問你的電腦，而且，還會(huì)竊取你的機(jī)密文件與個(gè)人密碼。這個(gè)危害性是很大的。根據(jù)官方的建議，若發(fā)現(xiàn)這個(gè)進(jìn)程異常的話，要馬上刪除這個(gè)進(jìn)程，并進(jìn)行殺毒工作。

這個(gè)木馬若手工刪除的話，非常的麻煩。以前有一電腦中了這個(gè)木馬，整整花了一天的時(shí)間，刪除關(guān)聯(lián)文件，修改注冊表，才清除干凈。一般不建議手工刪除這個(gè)木馬，太麻煩，而且比較專業(yè)，要求對這個(gè)病毒有比較徹底的認(rèn)識與了解。若發(fā)現(xiàn)這個(gè)進(jìn)程異常時(shí)，建議采取如下操作：

1)、在任務(wù)管理器下，馬上關(guān)閉這個(gè)進(jìn)程。有時(shí)候，可能利用系統(tǒng)的進(jìn)程管理器還不能關(guān)閉這個(gè)進(jìn)程，需要在安全模式下，才能關(guān)閉。所以，我們的第一要?jiǎng)?wù)，就是想盡一切可以想的辦法，把這個(gè)進(jìn)程先結(jié)束掉，如此，我們才可以做其他的工作。

2)、在殺毒軟件網(wǎng)站上，找這個(gè)木馬的專殺工具。這個(gè)病毒其關(guān)聯(lián)的范圍太廣，若手工刪除的話，太浪費(fèi)時(shí)間，一不小心的話，那邊還會(huì)剩下漏網(wǎng)之雨。即使熟悉這個(gè)木馬的人，要把木馬清除干凈的話，若沒有半天的時(shí)間估計(jì)也搞不定。而且，因?yàn)橐薷淖员淼刃畔ⅲ允止ば薷囊矔?huì)發(fā)生錯(cuò)誤。我的建議是，從網(wǎng)上尋找一個(gè)轉(zhuǎn)殺工具，用來查殺一下就可以了。

3)、利用專殺工具殺掉病毒后，要提醒中木馬電腦的用戶，要及時(shí)修改密碼。如用戶郵箱、QQ等即時(shí)通信工具的密碼；若在這臺電腦上使用過網(wǎng)上銀行的話，還要修改這個(gè)網(wǎng)上銀行的密碼。因?yàn)檫@些信息很可能在用戶不知情的情況下，就已經(jīng)被攻擊者所獲取。所以，不怕一萬，就怕萬一，要即使修改這些信息，防止被攻擊者非法利用。

四、Winlogon進(jìn)程異常

這個(gè)進(jìn)程是微軟操作系統(tǒng)的用戶登陸程序，管理用戶的登陸與退出。該進(jìn)程正常運(yùn)行路徑已經(jīng)為SYSTEM32路徑下并且是以SYSTEM系統(tǒng)身份用戶運(yùn)行。

但是，不幸的是，這個(gè)進(jìn)程已經(jīng)被落雪木馬看中。

進(jìn)程異常現(xiàn)象：

當(dāng)你打開系統(tǒng)進(jìn)程查看器查看你的系統(tǒng)進(jìn)程時(shí)，若你發(fā)現(xiàn)你的系統(tǒng)中有個(gè)大寫的WINLOGON進(jìn)程并且該進(jìn)程不是以SYSTEM系統(tǒng)用戶名身份運(yùn)行，而是當(dāng)前帳戶身份運(yùn)行的話，那你就中了這個(gè)所謂的落雪病毒。 這個(gè)病毒很頑固，而且，也很狡猾，這個(gè)木馬是由VB程序語言編寫，通過北斗殼技術(shù)進(jìn)行加殼處理。病毒文件名被模擬成正常的系統(tǒng)工具名稱，但是，文件擴(kuò)展名變成了COM，而正常的系統(tǒng)進(jìn)程是以EXE結(jié)尾的。這是落雪木馬利用了微軟操作系統(tǒng)的一個(gè)特性。

當(dāng)有兩個(gè)文件，如A.EXE與A.COM兩個(gè)文件。這個(gè)兩個(gè)文件都是可執(zhí)行文件，而且，文件名相同，只是擴(kuò)展名不同。此時(shí)，我們?nèi)粼诿钚兄校斎階運(yùn)行A程序時(shí)，系統(tǒng)會(huì)優(yōu)先執(zhí)行A.COM程序。這是為什么呢？原來微軟操作系統(tǒng)執(zhí)行COM文件的優(yōu)先級別要比執(zhí)行EXE的文件級別高。

如此，當(dāng)用戶在命令行中輸入A，此時(shí)，系統(tǒng)運(yùn)行的不是系統(tǒng)征程的進(jìn)程或者程序，而是木馬病毒。該病毒在運(yùn)行時(shí)，還會(huì)創(chuàng)建一個(gè)WINLOGON.EXE進(jìn)程，所以，我們查看進(jìn)程管理器的時(shí)候，會(huì)發(fā)現(xiàn)有兩個(gè)WINLOGON進(jìn)程。只是一個(gè)是大寫名字，一個(gè)是小寫名字。另外運(yùn)行的用戶與路徑也有差異。

另外該病毒還會(huì)修改注冊表文件關(guān)聯(lián)，每次當(dāng)用戶打開HTML的文件時(shí)，都會(huì)觸發(fā)這個(gè)病毒。并且，該病毒還會(huì)在我們系統(tǒng)的其他盤下面，生成兩個(gè)隱藏文件，autorun.inf與pagefile.com文件。這兩個(gè)文件，一看擴(kuò)展名，就知道不是善類。這兩個(gè)文件是自動(dòng)運(yùn)行批處理文件，這樣即使系統(tǒng)盤下面的病毒文件被刪除了，但是，當(dāng)用戶打開其他盤，如D盤時(shí)，這個(gè)病毒仍然會(huì)運(yùn)行。所以，這個(gè)病毒在“殺不死的病毒”排行榜上，是名列前茅的。

遇到這個(gè)病毒時(shí)，我們該怎么辦呢？

這個(gè)病毒牽涉的范圍跟上面這個(gè)病毒一樣，是非常的廣。在系統(tǒng)盤中、注冊表中及其他盤上都有涉及到，所以，若靠手工刪除病毒的話，很難清除干凈。我的建議還是依靠采用專門的殺毒軟件或者專殺工具來對付他。所以當(dāng)我們發(fā)現(xiàn)這個(gè)病毒時(shí)，為了安全起見，最好把這中木馬的主機(jī)從局域網(wǎng)上斷掉，然后在其他正常的主機(jī)上，從網(wǎng)上找到病毒的專殺工具，然后通過U盤等工具，拷過來，把病毒殺掉。不過，若用U盤等工具拷貝的話，要注意，最好把U盤設(shè)置為只讀，也就是打開寫保護(hù)，如此的話，U盤就不會(huì)被感染病毒。

五、svohost進(jìn)程

你能夠一眼看出 svohost與svchost這兩個(gè)單詞的區(qū)別嗎？要是不特別提醒，你不會(huì)知道這里還隱藏著什么密碼。

一次我有一個(gè)同事電腦出現(xiàn)了問題，我過去一看，運(yùn)行速度很慢，估計(jì)是中了病毒。我想看看系統(tǒng)中是否多了很多隱藏的文件，如在其他盤根目錄下是否多了隱藏的批處理文件。可是當(dāng)我通過工具欄那邊想把隱藏文件顯示出來的時(shí)候，才發(fā)現(xiàn)居然沒有這個(gè)選項(xiàng)，我現(xiàn)在所有的隱藏文件都看不到了。這是怎么回事情呢？其實(shí)，這就是這個(gè)svohost（注意不是svchost進(jìn)程）進(jìn)程在作怪。

Svchost是一個(gè)標(biāo)準(zhǔn)的動(dòng)態(tài)連接庫主機(jī)處理服務(wù)，它包含很多系統(tǒng)服務(wù)。有些病毒就利用用戶粗心大意的態(tài)度，通過偽裝，另外開了一個(gè)新的進(jìn)程SCOHOST。兩個(gè)進(jìn)程只有一字只差，而且，這個(gè)兩個(gè)字符C與O又非常相似，不仔細(xì)看，還真看不出來。 一般中這個(gè)病毒的癥狀是盤打不開，而且不能查看隱藏文件。若你不幸有這兩種癥狀，并且，在進(jìn)程管理器中，有SVOHOST進(jìn)程的話，那就說明你中招了。要趕緊想辦法處理了。

因?yàn)橛袝r(shí)候在你沒裝殺毒軟件之前，中了這個(gè)病毒的話，他就會(huì)影響你殺毒軟件的安裝過程。也就是說，你中了這個(gè)病毒之后，再裝殺毒軟件的話，那么你可能就裝不上。此時(shí)，除了重新安裝系統(tǒng)之外，還有其他的解決方法嗎？

我們的思路是先手工的把病毒刪除，然后再按照殺毒軟件進(jìn)行病毒查殺。所以現(xiàn)在首要的問題就是如何手工的殺除這個(gè)病毒。

1、關(guān)閉病毒進(jìn)程。由于SVOHOST進(jìn)程雖然跟系統(tǒng)進(jìn)程比較像，但是畢竟只是像而已，而不是系統(tǒng)進(jìn)程。所以，可以通過系統(tǒng)的進(jìn)程管理器把這個(gè)病毒直接關(guān)閉掉。只是在關(guān)的時(shí)候，我們不要看花了眼，要選擇真正的我們需要關(guān)閉的進(jìn)程SVOHOST，而不是svchost。

2、修改注冊表，把隱藏文件顯示出來。我們可以在注冊表中進(jìn)行修改，讓其顯示文件性質(zhì)為隱藏的文件。這里我們要注意，病毒會(huì)把注冊表中本來有效的值刪除掉，新建了一個(gè)無效的字符串。所以，在修改注冊表顯示隱藏文件的時(shí)候，要先把病毒新建的無效字符串去掉，然后把其原來的字段加進(jìn)去。這可見這個(gè)病毒是花了很大心思的。

3、手工刪除病毒。把隱藏文件顯示出來后，我們就要手工的刪除病毒文件。用鼠標(biāo)又鍵電腦中年的盤符，選擇打開。注意，這里不要直接雙擊打開電腦，否則的話，又會(huì)激活這個(gè)病毒。打開盤后，我們看到在盤符下面，有幾個(gè)隱藏文件，把他們刪除掉。

然后我們就可以正常安裝殺毒軟件進(jìn)行殺毒了。這里要注意，我們經(jīng)過了第三步后，并沒有把病毒全部刪除干凈。最后仍然要依靠殺毒軟件來對病毒進(jìn)行全面的查殺。