今天忽然发现办公电脑的进程中有个可疑的.exe，名字似乎是随机生成的六位字母和数字组合，马上怀疑是病毒，查看了别人的电脑，没有此文件，更确信是病毒了，常在河边走，终于湿了一次鞋。马上开始清除工作。

第一步，当然是找到.exe文件的物理位置。这个容易，直接用Windows自带的搜索功能。于是发现它位于Windows/temp/目录内，是个小狗图标。

第二步，这步错了——我是直接把这个文件删除掉——安全点的办法是把它重命名一下，比如把.exe命名为.exe_。而且，还没有弄清楚它究竟是什么东西之前就进行删除，是有些风险的。

第三步，重启。还好，系统能正常进入，进程中的可疑程序名不见了——等等，又出来一个名字相似的程序名，还是六位随机的字符组合，只奔temp目录下看，那个小狗还在那里，不过有了个新名字。

这回学聪明了点，用右键点击，查看文件的属性：存档文件，2006年6月12日建立，大小169kb，然而修改时间是2005年11月17日？

马上在系统中搜索2005年11月17日修改过的所有文件，所幸Windows也有这个功能。于是找出了一个图标一模一样，大小一模一样的.exe文件，它的名字叫Ofcdog.exe，在OfficeScan的目录下。

上网搜索ofcdog.exe，直接链接到了TrendMicro自家的主页，说这是杀毒监控程序，很安全blahblah。

既然很安全，干嘛不以真面目示人呢？这种行为和某些病毒不是完全一样嘛？我现在把ofcdog.exe改名为ofcdog.exe_了……

有关Officescan 客户端程序守护程序ofcdog.exe 被误认为病毒的说明问题描述:

系统进程中发现类似 FK41B0.EXE ，HX2E11.EXE等进程在 $WINDIR$\TEMP 目录下，这些是否是病毒？

解决方案: OSCE 6.5为了防止恶意病毒关闭防毒进程，安装时默认启用防黑客模式。OFCDOG.EXE为客户机看守程序服务进程。当您启用防黑客模式后，该看守进程OSCE 客户端会复制OFCDOG.EXE 程序到系统temp 目录下并重命名为随机的6位字母文件名称后启动，保护OSCE 客户端程序正常运行。

OSCE 6.5 客户机看守程序服务进程实现以下功能：

１、监控客户端的进程：NtRtScan.exe和TmListen.exe，并且当它们被恶意程序关闭的时候，重启进程。并且把相关事件写入事件日志并上传到服务端，时间日志将显示与控制台的系统事件日志页。

２、锁定所有客户端目录下的的 EXE和DLL文件，防止其他程序的更改和删除 。

３、复制自身进程，并随机命名，以防止该进程被删除起到看守作用。