【IT168 专稿】在病毒肆虐的今天，杀毒软件所向披靡的神话已然不在。在领略了“熊猫烧香”无比疯狂的威力之后，不少病毒已经开始向杀毒软件宣战，不少病毒可以破坏用户计算机中安装的杀毒软件。病毒可以轻松摧毁杀毒软件，这样一个严峻的事实下，要想保障企业网络安全，网管必须具备不用杀毒软件消灭病毒的能力。

    查找病毒原程序
    无论是凶悍无比的“熊猫烧香”，还是肆虐疯狂的“AV终结者”，其查杀方法无非是发现病毒原程序，删除病毒原文件及其变种，删除病毒在操作系统的加载选项这几个标准步骤，这也是杀毒软件查杀病毒的基本流程。无论病毒如何狡猾，如何变化，总会在操作系统中留下蛛丝马迹，这也是我们查找病毒原程序的宝贵线索。

    1、通过进程找病毒原程序：病毒只要运行，肯定会有一个进程，通过“任务管理器”或“360安全卫士”等，我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程，可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件，可以通过操作系统自带的“搜索”功能，查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程，这样会迷惑用户。例如，一些病毒通常会生成名字为“svch0st.exe”，与系统进程“svchost”的差别在于数字“0”和字母“o”，用户在查找时一定要注意。

    说明：如果在系统进程中查找到了可疑的进程，可利用系统的“搜索”功能却没有找到病毒原程序，通常是要查找的进程文件是隐藏文件，可以在搜索选项中查找系统或隐藏文件，这样就能查找到病毒原程序。

　　2、通过注册表找病毒原程序：病毒一旦感染操作系统，会在注册表中的启动项加载一些进程。在注册表的键值中，自动加载的选项中有文件的路径，这大大方便用户查找病毒的原程序。
通常情况下，病毒原程序的加载位置在注册表的如下位置：
        ①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
　　②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值；
　　③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
　　查找到病毒的原文件之后，便可以对病毒举起屠刀，结束其生命了。但有时用户删除了病毒原程序后，病毒无意之间又冒了出来，其实之所以会出现这种情况，是因为没有彻底删除病毒原程序及其相关的加载选项。

    彻底删除病毒原程序和加载选项
　一些病毒通常会感染系统文件，用户在删除该病毒原程序时，系统会弹出“文件正在使用，无法删除”的提示，这种情况之下，要想彻底删除病毒原程序，只能使用特殊方法。下面介绍一下两种常用的删除病毒原程序的方法。

    1、安全模式删除：如果遇到病毒原程序无法被删除的情况，用户可以进入安全模式下删除。如果病毒原程序感染了系统文件，必须将感染了病毒的系统文件删除，在删除之前，可以从其他没有感染病毒的机器中复制一个正常的文件替代被感染的病毒文件。

　2、终止进程再删除：有些病毒无法删除是因为该文件已经被加载到正常的进程中，要想删除病毒原文件，可以将该进程强行中止，然后删除。

    另外，用户可以借助一些第三方的工具删除病毒原程序，经常使用而且效果不错的第三方软件有：killbox、Icesword和unlocker，其中 Icesword当属最得力助手。删除了病毒原程序后，切记不要忘记删除病毒在注册表等处的一些加载选项。病毒除了注册表的Run键值之外，还需要检查以下几个位置并一一删除。

    1、启动组：在“开始”菜单的“程序”中有一个启动组，这也是病毒的一个加载地方。一定要删除此处的病毒加载文件。

　2、注册表：上文中已经提及，病毒会加载在注册表的Run键中，用户需要一一检查。如病毒原文件名字为loveyou.exe，可以使用注册表的“查找”功能进行查找并一一进行删除。

　3、系统文件：win.ini和system.ini两个系统文件也是病毒的非常好的藏身之处。打开win.ini后，在它的[windows]字段中有启动命令“load=”和“run=”，病毒通常加载在“＝”后面。而在system.ini中，boot字段和driver字段中也是病毒的加载地方。Driver字段后加载的病毒文件，也就是我们通常所说的驱动型病毒。用户要删除上述字段中的病毒的加载选项。

    删除了病毒原程序文件，以及病毒在注册表、启动组及系统文件中的加载位置之后，病毒才算真正的被消灭。彻底、完全干净的删除了病毒之后，通常会留下一定的后遗症，手工杀毒之后，还要进行修复工作。

    系统修复不容忽视
　越来越多的病毒为了躲过杀毒软件的追杀，或者是为了麻痹杀毒软件，通常会感染系统文件，一旦删除了系统文件，操作系统可能会留下诸多的后遗症。例如，正常情况下txt文件的打开方式为notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，著名的冰河木马就是这样的情况。一旦你双击一个txt文件，原本应用notepad打开该文件的，现在却变成启动冰河木马了，删除了冰河木马之后，txt文件关联就错位了。为此，删除病毒之后必须对系统进行修复。

    1、复制正常系统文件：通常情况下，病毒会感染rundll32.exe文件，或者是一些扩展名为dll的文件。这种情况下，修复被病毒破坏文件的非常好的方法就是从没有感染病毒的系统中复制文件，拷贝到被病毒感染的机器中。拷贝文件成功之后，重新启动计算机就可以了。

　2、用恢复命令修复：在Windows XP操作系统中，对于dll文件和一些关键文件都会保存在dllcache目录中，用户可以在DOS提示符下或“运行”中输入sfc /scannow命令恢复这些系统文件。在修复过程中，可能需要插入Windows XP的安装光盘。

　3、手工恢复文件关联：删除一些病毒文件后，可能会影响正常的文件关系，用户可以手工恢复文件关联。以修复扩展名为txt的文件为例，打开“文件夹选项”，在“文件类型”选项中查找.txt的文件关联，然后选择删除，点击确定后退出。在硬盘中随便找一个扩展名为.txt的文件，双击会出现一个“选择打开程序”的对话框，选择notepad.exe程序之后，txt文件关联就被恢复了。

    不同的病毒对系统文件的破坏程度不同，其修复方法也不同。用户可以根据实际情况进行修复，让系统的所有功能能够完好如初。

    结束语：在杀毒软件屡屡被病毒杀掉的今天，企业用户的电脑安全受到了威胁。正如网民所说：“最可怕的不是杀出病毒，而是用杀毒软件杀不出病毒”，这种情况下，企业网管必须学会不用杀毒软件查杀病毒的能力。只要企业网管对操作系统非常熟悉，不用杀毒软件也能易如反掌的消灭肆虐横行的病毒。