写在前面

    当确定一个系统可能存在问题的时候，首先要做的，就是找出系统的问题所在，这个时候我们就需要来“看懂”系统诊断日志，找出原因所在，然后再来做相应清除。虽然现在有很多的流氓清除软件，但跟杀毒软件一样，他们永远是跟着流氓软件后面在奔跑，当这个流氓是一个新出来的时候，必须要经过以下步骤：

厂商拿到样本——>分析——>加入特征码/病毒行为——>更新病毒特征库——用户下载——>查杀成功

     所以有时不得以，我们需要自己来诊断一下，当然，这个诊断远没有想象的那么难。目前比较常用的诊断工具有Hijackthis,360safe,SRENG等几个软件。360safe经过几次升级，借鉴了Hijackthis的日志项，目前已经做得很完善了。本篇文章最早2006/10/10发于360官方的紧急救援区并长期置顶，今天把它拿过来，作为对我的BLOG的一个补充。

很多网络新手对于360的扫描日志看不懂，或者看了之后不知道怎么处理，
请花5分钟来了解一下，比你发了日志等待别人来解答强，要他救，更要自救。其实很多作很简单的：


使用方法：
确定可疑项——文件粉碎器删除相应文件——重启——用360修复注册表残留值

以下面这篇贴子为例：  
http://bbs.360safe.com/viewthread.php?tid=11221&extra=page%3D1

这个日志其实最主要看6项：

02，浏览器辅助对象 ★★★★★
   这个是最需要关注的重点之一。浏览器辅助对象（BHO），本来是IE提供其它程序扩展浏览器的功能所开放的接口，在浏览器启动的时候，自动加载。这个是几乎所有流氓广告软件的“兵家必争之地”。一般情况下，它可能有很多个，如：
   O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
    在这一项中，我们一般看最后面一行，那个.dll文件的位置，这里是C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件，从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的—NetTransport是下载工具影音传送带，那么这一项就应该没问题。

    如果你看到这个目录不认识，那就需要注意了。尤其注意这个.dll是位于temp目录或者windows/system32目录下，那就基本可以肯定是有问题的了，如示例文章的日志中，这两个都有肯定有问题的：
    O2 - 未知 - BHO: (ShowBarEx Class) - [cn5940bar Module] - {15953528-6C01-481A-8DB4-01888FB85B7D} - C:\WINDOWS\system32\CN5940~1.DLL
    O2 - 未知 - BHO: (IPCUSmartLink Class) - [Microsoft Internet Explorer Extension] - {A5352191-32C0-4EDB-B265-382F576C32FF} - C:\WINDOWS\system32\IPCUHelper2.dll
     
处理建议：
         方法一：在360里——修复——全面诊断——浏览器辅助对象，选中之后进行修复。可以多试几次。
         方法二：用Autoruns或者hijackthis这两个工具（www.nslog.cn）

04，自启动项 ★★★★★
    历来自启动项是所有木马/病毒/流氓软件的“兵家必争之地”。当一个流氓软件入侵和被安装到用户机器之后，必然要想办法让用户下次启动计算机的时候，自身还可以运行。方法有多种，放到自启动是最常用最根本的一招。Windows的自启动有十多个地方，常用的如注册表、INI文件，启动组等。Hijackthis会把所有的自启动列出来。包括名称和运行的文件名。

    如示例文章中的这个，一共有六项都有问题：
    O4 - 高危险 - HKLM\..\Run: [SoundMam] [怀疑为恶意程序或病毒，请使用杀毒软件进行查杀。] C:\WINDOWS\system32\SVOHOST.exe
   O4 - 未知 - HKLM\..\Run: [IEUpdates] [] C:\WINDOWS\system32\Updates.exe
   O4 - 未知 - HKCU\..\Run: [updatereal] [] C:\WINDOWS\realupdate.exe other
   O4 - 未知 - HKCU\..\Run: [daemon] [Microsoft 基础类应用程序] C:\WINDOWS\daemon.exe
   O4 - 未知 - HKCU\..\Run: [wow] [] C:\WINDOWS\system32\Launcher.exe
  O4 - 未知 - HKCU\..\Run: [zz] [] C:\WINDOWS\system32\intenet.exe
   O4 - 高危险 - HKCU\..\Run: [rx] [疑为恶意程序或病毒。] C:\WINDOWS\system32\explore.exe

   处理建议： 对于一般用户，我给出的建议是除了C:\windows\system32\ctfmon.exe这个输入法指示器，其它的除非你知道是自己安装的程序如（C:\program files\tencent\qq\qq.exe），其它的一律删除。如果修复了，它又偷偷出现，那么基本就肯定有问题（一般流氓软件都会有这种自我修复、保护的功能）。对应怀疑是流氓软件的，相应的.exe也要先删除了。
     360里——修复——启动项，选中后进行修复，可以多做几次。 


   023，系统服务 ★★★★
   系统服务是另外一个流氓软件越来越重视的地方。一般Windows系统的服务在这里不会显示出来。只有第三方安装的服务才会显示出来。所有显示的，都需要留心。
   如示例文章中的三项都有问题：
   O23 - 未知 - Service: NetSys [管理系统网络连接，您可以查看系统网络连接。] - C:\WINDOWS\system32\NetSys.exe
   O23 - 未知 - Service: NetWorkLogon [支持网络上计算机远程登陆事件。如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。] - rundll32.exe
   O23 - 未知 - Service: NetWorkLogons [支持网络上计算机远程登陆事件。如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。] - rundll32.exe
   
    处理建议： 如果知道是自己安装的如MySQL，Apahce这类可以不管，其它的服务一般会冒充，起一个类似于很象正常的名字，如Windows updatas, NTServices，等。我的建议是所有你不清楚的，全部删掉。尤其.exe的可执行路径位于windows，System32目录下的。（system32目录下的rundll32.exe除外，这个.exe文件不要删除，直接把服务删除便可） 
     360里——修复——系统服务，选中后进行修复，可以多做几次。 
    也可以在CMD窗口（开始——运行——cmd.exe）下输入： 
     sc delete "服务名"     来删除一个服务。
    ——如果360修复之后它又出现了，那么便先用顽固文件删除工具把相应的.exe给删除掉（见置底的），重启一下，然后再修复。

[1] [2] 下一页