一般來說，任何的網絡攻擊行為，無論是病毒還是木馬，其發生的時候，肯定會在系統中留下一些痕跡。下面，我談談我們如何從系統進程中查看我們的網絡及操作系統是否正在遭受病毒或者木馬的侵襲，及對應的解決方法。或許能夠給正在遭受網絡安全困擾的用戶，一些幫助。

具體怎么看系統進程，我想這里就不用我多說了。很多工具都可以查看系統進程，最常用的方法就是利用操作系統自帶的任務管理器進行查看。

一、CSRSS進程異常

根據官方的解釋，CSRSS進程是Windows圖形相關控制的客戶端服務自系統。正常情況下，在操作系統的任務進程中，必須有這個進程，否則系統就的圖形界面就無法使用了。但是，這個進程也很有可能被病毒所利用，成為病毒的保護傘。

若CSRSS進程出現了以下的異常情況，那么說明你的電腦很可能中毒了。應該即使采取措施，否則會影響操作系統以網絡的安全。

1、當任務管理器中，出現多個CSRSS進程時。一般情況下，在操作系統中，只能出現一個CSRSS進程。雖然說CSRSS進程是必須的，但是，也不是多多益善。當任務管理器中的進程顯示出有多個CSRSS進程的話，那么說明你的操作系統中招了。

 2、當CSRSS進程運行的用戶名不是SYSTEM，及其運行的模塊路徑不是System32 文件夾下的話，那么你也要當心了。很可能你電腦已經成為了黑客眼中的肉雞，成為影響企業網絡安全的一顆定時炸彈，隨時都會爆炸。

3、當CSRSS病毒出現在微軟早七的版本中，如98系統或者WINME操作系統的話，那么，也說明這個進程是有問題的進程。因為CSRSS進程，是微軟操作系統2000以后的產物。在以前的操作系統中，沒有這個進程。若不幸在以前的操作系統的版本中發現這個進程的話，那絕對是病毒無疑。

解決方式：

若CSRSS是木馬引起的，那么CSRSS是一個小的腳本程序。現在很多木馬都會用到這個進程，如QQ木馬、傳奇盜號木馬、MSN木馬、郵件帳號木馬等等。中了這些木馬的時候，一般操作系統本身不會有很大的反映，系統的速度也是正常的，所以比較隱蔽。但是，其危害是很大的。其會把企業的一些帳號，如VPN用戶名與密碼、即時通信工具與密碼等等都泄露出去，給企業的網絡安全帶來很大的隱患。

遇到這種這種情況的話，我們應該采取如下措施：

1、通過注冊表刪除這個進程。因為木馬把這個進程偽裝成系統進程，所以，試圖通過任務管理器結束這個進程的時候，系統會提示錯誤信息，告知這個進程為系統進程不能停止。所以，只能夠通過注冊表管理器，把這個進程刪除。注意，不要把系統原來的那個進程給刪除了。所以，還是建議在修改注冊表之前，先記得備份一下。

2、然后查看進程運行時的系統路徑。把該進程在注冊表中刪除后，在任務管理器中的進程處就找不到這個進程了。此時，找到其原先運行的路徑下面，我們就可以看到有一個CSRSS可執行文件。注意，只要不是SYSTEM32，其他的都可以刪除。我們也可以通過系統自帶的搜索功能，查詢這個文件。把不是在SYSTEM32目錄下的CSRSS文件都刪除。

3、為了安全起見，升級我們的殺毒軟件或者網上尋找專殺工具，對我們的系統進行全面的查殺。把病毒殺掉后，要及時把補丁打上，以防止下次不小心又中招了。

二、LSASS進程異常

LSASS進程也是微軟操作系統的系統進程，其主要用來管理IP安全策略以及啟動ISAKMP/IKE和IP安全驅動程序。這個進程會產生會話秘鑰以及授予用戶交互式客戶/服務器驗證的服務憑據。

一般情況下，若系統進程中出現了一個LSASS進程，并且其是以SYSTEM的用戶運行且運行目錄是在System32下面，那不用擔心，是正常的。但是，有時候這個進程也會作怪，有些木馬或者病毒也會假冒這個進程來欺騙用戶。

當發生以下異常情況時，那我們需要注意了，可能我們的操作系統以及網絡已經受到病毒或者木馬的威脅。

1、在系統中出現了多個LSASS進程。一般以大寫命名的LSASS進程是正常的，是系統進程；但是，若同時還存在一個小寫命名的lsass進程的話，那就說明你的系統可能已經出問題了，被病毒或者木馬看中了。

2、若中了ISASS病毒的話，不僅會在系統進程中產生兩個LSASS進程，而且，還會產生一個EXERT進程。這兩個進程分工合作，共同來管理LSASS病毒。一般來說，LSASS進程控制LSASS病毒的執行，而EXERT病毒控制LSASS病毒的退出。所以，若這兩個進程成對出現的話，那你的系統百分之百的已經中了LSASS病毒。

LSASS病毒也是一個盜號木馬，其主要運行在微軟的操作系統上。以前的版本危害比較小，主要用來盜取游戲密碼。但是，改良后的LSASS病毒，不僅會盜取游戲密碼，而且，還會盜取郵箱、QQ密碼等等，對于企業網絡的安全影響比較大。不法之徒可以利用這個工具，獲取企業郵箱等密碼，竊取企業的機密，如客戶發給企業的定單等等。LSASS病毒會記錄鍵盤信息，最后把用戶名與密碼信息記錄下來并發送到指定的郵箱，從而竊取用戶的帳號與密碼等等。所以，危害級別比較大。

解決方案：

1、結束LSASS進程。因為該進程為系統進程（其實不是，只是偽裝，但是操作系統本身不能識別），所以，無法在進程管理器中直接停止。我們只能夠通過注冊表，或者在DOS窗口中，利用NTSD命令強行停止。NTSD是從微軟的2000以后的操作系統中自帶的用戶調試工具。被調試器附著的進程會隨調試器的退出而一起退出。所以，可以同這個命令在命令行窗口下強行終止進程。但是，一般情況下，NTSD命令不能殺掉SYSTEM用戶運行的進程。不過還好，LSASS病毒的LSASS進程是不是以SYSTEM用戶運行的。從這里我們可以看出，在進程管理器中，其結束進程的話，有時候是按進程的名字來限制的；但是，利用NTSD命令的話，他考慮的是以什么身份進行運行的。故利用NTSD命令可以停止一些偽裝系統進程運行的非法進程。利用這個命令，也可以禁止上面談的CSRSS非法進程。當然，以SYSTEM運行的合法系統進程是結束不掉的。具體的命令為ntsd –c q –p 進程ID.通過進程管理器,可以查到非法進程的ID,就可以通過這個命令禁止掉了。

2、刪除病毒文件。LSASS病毒會在其他盤下生成兩個文件，分別為Autorun.inf與command.com文件。一般這兩個文件的屬性是隱藏的。所以，我們需要把文件的顯示屬性設置為“顯示隱藏文件與系統文件”才會看到這個兩個文件。找到他們，然后把他們刪除。

同時，在啟動盤下，可能會有一些病毒文件，如EXERT.EXE等，我們也要把他們一一找出來，刪除掉。不然的話，下次還是會中招。

3、修復注冊表。這個病毒在注冊表中會生成比較多的垃圾，所以，若是手工清除的話，一方面，不一定能夠全部清除干凈，另一方面，也可能一不小心，產生一些錯誤。此時，我們最好利用我們最近備份的注冊表備份文件，直接進行恢復。

4、從網上下載專殺工具或者升級我們的殺毒軟件，進行全面的查殺。

5、為了安全起見，需要提醒我們的員工，及時更改我們的帳戶密碼。因為用戶 的密碼很可能已經泄露出去。如果不及時把密碼改過來的話，不法分子可以利用他們已經得到的用戶名與密碼，進行一些非法的勾當。

以上這兩種進程都是盜號木馬的工具。對于這些盜號木馬進程，一般情況下，不會對系統運行造成什么影響。所以，相對來說，比較隱蔽。但是，其危害性，確實比其他病毒大的多。有些病毒只是惡作劇的性質，最多只是讓操作系統崩潰或者造成網絡擁塞。而企業的文件、帳戶信息等不會泄露出去。所以，這些惡作劇的病毒危害性反而小一點。

所以，為了保障企業網絡的安全，最好的辦法還是部署企業級別的殺毒系統。如此的話，可以實現在用戶不用干預的情況下，對殺毒軟件進行及時的升級，防止病毒與木馬入侵。

一般來說，任何的網絡攻擊行為，無論是病毒還是木馬，其發生的時候，肯定會在系統中留下一些痕跡。我接著談談我們如何從系統進程中查看我們的網絡及操作系統是否正在遭受病毒或者木馬的侵襲，及對應的解決方法。或許能夠給正在遭受網絡安全困擾的用戶，一些幫助。

三、SMSS進程異常

SMSS進程是會話管理子系統的進程，他主要用來初始化系統變量。正常情況下，他是以系統用戶名（system）身份運行，并且運行目錄是在SYSTEM32下面。這個進程是通過系統進程初始化的并且對許多活動的系統變量作出反映。其實這個進程我們平時也經常會感受到。當某個程序發生異常時，SMSS進程就會讓系統停止響應。有時候我們在網上沖浪系統突然提示網頁發生錯誤將關閉，就跟這個進程有關系。這個進程的正常運行，對于系統穩定性來說，是非常重要的。

但是，這個系統進程也被不法之人利用了。若你在任務管理器中發現以下異常現象，那么就要恭喜你了，你中木馬了。

異常現象：

1、不是以系統用戶名（system）身份運行的，并且，運行目錄不是SYSTEM32下面的，那么就說明這個進程有異常。我們要注意，若是系統的正常的SMSS進程，一定是以系統用戶名運行的，并且，一定是在SYSTEM32目錄下運行。否則的話，就不是系統本身的SMSS進程，很可能是木馬偽造的進程。

2、在系統中有同時出現兩個或者兩個以上SMSS進程，那么你就要注意了，你電腦很可能中了木馬。

現在最常見的SMSS進程異常是由WIN32.LADEX.A木馬所造成的。這個木馬病毒危害很大，他不僅允許攻擊者訪問你的電腦，而且，還會竊取你的機密文件與個人密碼。這個危害性是很大的。根據官方的建議，若發現這個進程異常的話，要馬上刪除這個進程，并進行殺毒工作。

這個木馬若手工刪除的話，非常的麻煩。以前有一電腦中了這個木馬，整整花了一天的時間，刪除關聯文件，修改注冊表，才清除干凈。一般不建議手工刪除這個木馬，太麻煩，而且比較專業，要求對這個病毒有比較徹底的認識與了解。若發現這個進程異常時，建議采取如下操作：

1)、在任務管理器下，馬上關閉這個進程。有時候，可能利用系統的進程管理器還不能關閉這個進程，需要在安全模式下，才能關閉。所以，我們的第一要務，就是想盡一切可以想的辦法，把這個進程先結束掉，如此，我們才可以做其他的工作。

2)、在殺毒軟件網站上，找這個木馬的專殺工具。這個病毒其關聯的范圍太廣，若手工刪除的話，太浪費時間，一不小心的話，那邊還會剩下漏網之雨。即使熟悉這個木馬的人，要把木馬清除干凈的話，若沒有半天的時間估計也搞不定。而且，因為要修改注冊表等信息，所以手工修改也會發生錯誤。我的建議是，從網上尋找一個轉殺工具，用來查殺一下就可以了。

3)、利用專殺工具殺掉病毒后，要提醒中木馬電腦的用戶，要及時修改密碼。如用戶郵箱、QQ等即時通信工具的密碼；若在這臺電腦上使用過網上銀行的話，還要修改這個網上銀行的密碼。因為這些信息很可能在用戶不知情的情況下，就已經被攻擊者所獲取。所以，不怕一萬，就怕萬一，要即使修改這些信息，防止被攻擊者非法利用。

四、Winlogon進程異常

這個進程是微軟操作系統的用戶登陸程序，管理用戶的登陸與退出。該進程正常運行路徑已經為SYSTEM32路徑下并且是以SYSTEM系統身份用戶運行。

但是，不幸的是，這個進程已經被落雪木馬看中。

進程異常現象：

當你打開系統進程查看器查看你的系統進程時，若你發現你的系統中有個大寫的WINLOGON進程并且該進程不是以SYSTEM系統用戶名身份運行，而是當前帳戶身份運行的話，那你就中了這個所謂的落雪病毒。 這個病毒很頑固，而且，也很狡猾，這個木馬是由VB程序語言編寫，通過北斗殼技術進行加殼處理。病毒文件名被模擬成正常的系統工具名稱，但是，文件擴展名變成了COM，而正常的系統進程是以EXE結尾的。這是落雪木馬利用了微軟操作系統的一個特性。

當有兩個文件，如A.EXE與A.COM兩個文件。這個兩個文件都是可執行文件，而且，文件名相同，只是擴展名不同。此時，我們若在命令行中，輸入A運行A程序時，系統會優先執行A.COM程序。這是為什么呢？原來微軟操作系統執行COM文件的優先級別要比執行EXE的文件級別高。

如此，當用戶在命令行中輸入A，此時，系統運行的不是系統征程的進程或者程序，而是木馬病毒。該病毒在運行時，還會創建一個WINLOGON.EXE進程，所以，我們查看進程管理器的時候，會發現有兩個WINLOGON進程。只是一個是大寫名字，一個是小寫名字。另外運行的用戶與路徑也有差異。

另外該病毒還會修改注冊表文件關聯，每次當用戶打開HTML的文件時，都會觸發這個病毒。并且，該病毒還會在我們系統的其他盤下面，生成兩個隱藏文件，autorun.inf與pagefile.com文件。這兩個文件，一看擴展名，就知道不是善類。這兩個文件是自動運行批處理文件，這樣即使系統盤下面的病毒文件被刪除了，但是，當用戶打開其他盤，如D盤時，這個病毒仍然會運行。所以，這個病毒在“殺不死的病毒”排行榜上，是名列前茅的。

遇到這個病毒時，我們該怎么辦呢？

這個病毒牽涉的范圍跟上面這個病毒一樣，是非常的廣。在系統盤中、注冊表中及其他盤上都有涉及到，所以，若靠手工刪除病毒的話，很難清除干凈。我的建議還是依靠采用專門的殺毒軟件或者專殺工具來對付他。所以當我們發現這個病毒時，為了安全起見，最好把這中木馬的主機從局域網上斷掉，然后在其他正常的主機上，從網上找到病毒的專殺工具，然后通過U盤等工具，拷過來，把病毒殺掉。不過，若用U盤等工具拷貝的話，要注意，最好把U盤設置為只讀，也就是打開寫保護，如此的話，U盤就不會被感染病毒。

五、svohost進程

你能夠一眼看出 svohost與svchost這兩個單詞的區別嗎？要是不特別提醒，你不會知道這里還隱藏著什么密碼。

一次我有一個同事電腦出現了問題，我過去一看，運行速度很慢，估計是中了病毒。我想看看系統中是否多了很多隱藏的文件，如在其他盤根目錄下是否多了隱藏的批處理文件。可是當我通過工具欄那邊想把隱藏文件顯示出來的時候，才發現居然沒有這個選項，我現在所有的隱藏文件都看不到了。這是怎么回事情呢？其實，這就是這個svohost（注意不是svchost進程）進程在作怪。

Svchost是一個標準的動態連接庫主機處理服務，它包含很多系統服務。有些病毒就利用用戶粗心大意的態度，通過偽裝，另外開了一個新的進程SCOHOST。兩個進程只有一字只差，而且，這個兩個字符C與O又非常相似，不仔細看，還真看不出來。 一般中這個病毒的癥狀是盤打不開，而且不能查看隱藏文件。若你不幸有這兩種癥狀，并且，在進程管理器中，有SVOHOST進程的話，那就說明你中招了。要趕緊想辦法處理了。

因為有時候在你沒裝殺毒軟件之前，中了這個病毒的話，他就會影響你殺毒軟件的安裝過程。也就是說，你中了這個病毒之后，再裝殺毒軟件的話，那么你可能就裝不上。此時，除了重新安裝系統之外，還有其他的解決方法嗎？

我們的思路是先手工的把病毒刪除，然后再按照殺毒軟件進行病毒查殺。所以現在首要的問題就是如何手工的殺除這個病毒。

1、關閉病毒進程。由于SVOHOST進程雖然跟系統進程比較像，但是畢竟只是像而已，而不是系統進程。所以，可以通過系統的進程管理器把這個病毒直接關閉掉。只是在關的時候，我們不要看花了眼，要選擇真正的我們需要關閉的進程SVOHOST，而不是svchost。

2、修改注冊表，把隱藏文件顯示出來。我們可以在注冊表中進行修改，讓其顯示文件性質為隱藏的文件。這里我們要注意，病毒會把注冊表中本來有效的值刪除掉，新建了一個無效的字符串。所以，在修改注冊表顯示隱藏文件的時候，要先把病毒新建的無效字符串去掉，然后把其原來的字段加進去。這可見這個病毒是花了很大心思的。

3、手工刪除病毒。把隱藏文件顯示出來后，我們就要手工的刪除病毒文件。用鼠標又鍵電腦中年的盤符，選擇打開。注意，這里不要直接雙擊打開電腦，否則的話，又會激活這個病毒。打開盤后，我們看到在盤符下面，有幾個隱藏文件，把他們刪除掉。

然后我們就可以正常安裝殺毒軟件進行殺毒了。這里要注意，我們經過了第三步后，并沒有把病毒全部刪除干凈。最后仍然要依靠殺毒軟件來對病毒進行全面的查殺。