系統自檢四部曲

當系統的運行速度莫名其妙變慢時，我們第一時間想到的就是系統中了病毒，可究竟是不是真的中毒了呢?很多朋友都會打開殺毒軟件掃描系統，結果可能什么也沒發現。其實只要掌握了系統自檢的四個方法，就能快速查出系統是否中毒，省下大把的時間。

查找病毒進程

任何病毒都有自身的進程，但有些病毒進程采用了障眼法，導致我們無法尋其蹤跡。打開任務管理器，查找是否有可疑進程，這需要我們對進程的知識有一定的了解。病毒很喜歡使用與系統進程相似的名字，比如用“svchost.exe”進程名冒充正常的系統進程“svchost.exe”，僅僅一字之差，我們在檢查的時候一定要仔細。如果出現這種不正常的進程，幾乎可以肯定它就是病毒。還有一種可能性是病毒主程序的名稱和正常系統進程名一樣，但是路徑不同。例如svchost.exe的位置應該是c:\\windows\\system32目錄，若這個進程位于其它目錄，也要引起注意。借助專業的進程管理工具Procexp，可以有效查出此類冒充的 病毒進程。

檢測系統啟動項和服務

病毒為了隨系統一起啟動，通常會在注冊表的啟動項中動手腳。我們可以通過“系統配置實用程序”來檢查系統啟動項。

運行“msconfig”打開“系統配置實用程序”，切換到“啟動”標簽，在這里就可以對系統的啟動項進程檢查了。病毒會使用各種方法來迷惑用戶，所以要仔細區分病毒的啟動信息。比如上文提到的“svchost.exe”可能位于不正常的目錄中，從這里就能看出端倪。如果有不認識的啟動項目，可以通過搜索引擎來查找相關信息，查到病毒進程后就結束它。

“服務”也是病毒常下手的地方，病毒在“服務”中搞小動作同樣可以實現隨系統啟動的目的。進入控制面板，雙擊“管理工具/服務”，查找病毒添加的服務。注意看服務的描述部分，這通常是找出病毒服務比較有效的辦法。但是如果病毒采用rootkit技術將服務隱藏，這就需要使用下文的系統內核檢測。

檢測系統內核

所謂的rootkit技術，就是通過修改系統的內核讓病毒的進程、服務以及文件等隱藏起來，躲過用戶的查殺，因此在做系統自檢的時候，內核也是必須檢查的地方。檢測系統內核需要使用專業的軟件，例如著名的安全工具“IceSword”就具有系統內核的檢測功能。

運行IceSword后，進入查看模塊，選中“內核模塊”查看其中是否有異樣。接著再進入其中的“SSDT”查看功能，如果存在用紅色字體顯示的條目，就要小心了，例如著名的木馬病毒“Pcshare”就會在這里被檢測出來(如圖2)。當然有時候殺毒軟件的服務也會在這里以紅色字體顯示，但大多有明確的關鍵字，可以很容易地區分好壞。

最后，我們要尋找的就是病毒產生的可執行文件了。通過上面的檢測，已得知病毒主程序的路徑，找到后將它刪除即可。有時候這樣做還是不夠的，因為病毒很可能還有其它拷貝，例如“熊貓燒香”病毒就會向其它磁盤分區拷貝病毒文件，還要檢查每個分區下是否有病毒文件，最常見的病毒文件就是“Autorun.inf”了。這里千萬要注意用右鍵點擊盤符，再選擇“打開”，如果直接雙擊的話很可能造成重復感染。雙擊Autorun.inf文件可以調用記事本打開，里面通常記錄著病毒的位置和文件名，找出后刪除即可。