【IT168 专稿】在病毒肆虐的今天，杀毒软件所向披靡的神话已然不在。在领略了“熊猫烧香”无比疯狂的威力之后，不少病毒已经开始向杀毒软件宣战，不少病毒可以破坏用户计算机中安装的杀毒软件。病毒可以轻松摧毁杀毒软件，这样一个严峻的事实下，要想保障企业网络安全，网管必须具备不用杀毒软件消灭病毒的能力。

    查找病毒原程序
    无论是凶悍无比的“熊猫烧香”，还是肆虐疯狂的“AV终结者”，其查杀方法无非是发现病毒原程序，删除病毒原文件及其变种，删除病毒在操作系统的加载选项这几个标准步骤，这也是杀毒软件查杀病毒的基本流程。无论病毒如何狡猾，如何变化，总会在操作系统中留下蛛丝马迹，这也是我们查找病毒原程序的宝贵线索。

    1、通过进程找病毒原程序：病毒只要运行，肯定会有一个进程，通过“任务管理器”或“360安全卫士”等，我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程，可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件，可以通过操作系统自带的“搜索”功能，查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程，这样会迷惑用户。例如，一些病毒通常会生成名字为“svch0st.exe”，与系统进程“svchost”的差别在于数字“0”和字母“o”，用户在查找时一定要注意。

    说明：如果在系统进程中查找到了可疑的进程，可利用系统的“搜索”功能却没有找到病毒原程序，通常是要查找的进程文件是隐藏文件，可以在搜索选项中查找系统或隐藏文件，这样就能查找到病毒原程序。

　　2、通过注册表找病毒原程序：病毒一旦感染操作系统，会在注册表中的启动项加载一些进程。在注册表的键值中，自动加载的选项中有文件的路径，这大大方便用户查找病毒的原程序。
通常情况下，病毒原程序的加载位置在注册表的如下位置：
        ①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
　　②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
　　③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
　　查找到病毒的原文件之后，便可以对病毒举起屠刀，结束其生命了。但有时用户删除了病毒原程序后，病毒无意之间又冒了出来，其实之所以会出现这种情况，是因为没有彻底删除病毒原程序及其相关的加载选项。