必须说明的是:以下只是我对看360日志的学习总结,有些东西来自于一些高手门的指导,在此感谢下老大他们,还有就是,看懂360日志需要一定的电脑知识,特别是对系统文件和进程的认识,如果你在这方面的积累还不够的话,看起来会比较吃力。
文章内提到的所有的删除操作都建议到安全模式下进行,最好使用KILLBOX来删除或者用冰刃或unlocke的文件功能进行查找删除,因为有些病毒采用了隐藏技术,需要用到冰刃的文件功能才能看到文件。(点击工具名可进行下载该工具。)
请先确认哪些文件是需要删除的再到安全模式下一次性删除,避免有些病毒删除不干净而再次被激活
以下对网上的一些求助贴截取一些进行我个人的解释:
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
O2 - 低危险 - BHO: (CnsHook Class) - [网络实名] - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - 高危险 - HKLM\..\Run: [CnsMin] [雅虎助手相关程序。] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 高危险 - HKLM\..\Run: [helper.dll] [怀疑为恶意程序或病毒,请使用杀毒软件进行查杀。] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
一般情况下360日志如果是以红色显示的话,我是推荐你不管三七二一把那文件砍掉了,如上几个文件,可以删除了的文件为:
C:\WINDOWS\DOWNLO~1\CnsHook.dll
C:\WINDOWS\DOWNLO~1\CnsMin.dll
C:\PROGRA~1\3721\helper.dll(注意这一项!!是删除了C:\PROGRA~1\3721\helper.dll这个文件,而不是删除了C:\WINDOWS\system32\rundll32.exe这个,C:\WINDOWS\system32目录下的rundll32.exe是正常的系统文件,其他目录下的rundll32.exe则十有八九是病毒文件)
注意:由于360扫描的是注册表,所以不一定在你的系统中找得到这个文件,如果你找到了删除他,找不到就跳过了吧,但是还是建议你要冰刃的文件功能进行查找,不要去徒手查找。删除完成后在用360修复启动项(高级--启动项状态)和BHO插件(常用--系统全面诊断-修复浏览器-BHO插件)
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
100 - 未知 - Process: 9.exe [] - C:\Program Files\WindowsUpdate\9.exe
100 - 未知 - Process: winlog0n.exe [] - C:\WINDOWS\winlog0n.exe
100 - 未知 - Process: QQ.exe [QQ] - D:\QQ\QQ.exe
360日志隐藏了系统的安全进程,而对未知的进程进行了记录显示,如上,遇到未知的进程,是我们必须特别注意的地方。上面的三个进程我们可以判断出:
C:\Program Files\WindowsUpdate\9.exe
C:\WINDOWS\winlog0n.exe
这两个为病毒文件,必须给于删除,而D:\QQ\QQ.exe则为正常的QQ的程序文件,在这里有个小技巧可以提高你看日志的速度,就是一般我们只需要注意在系统盘下的进程,其他盘的进程一般不必留意,除非你把系统的临时文件夹目录移动到了其他盘中,那才需要考虑。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
O1 - 未知 - Host: 58.215.65.136 www.hyap98.com
O1 - 未知 - Host: 58.215.74.70 my.dianz.cn
360对Host文件也进行了扫描,并对修改了的HOST文件进行了记录,如上,如果你发现了解析的地址象上面一样,指向了一个陌生的IP地址,而非你自己编辑HOSTS文件的话,那么八成是病毒修改了定向,强迫你上他指定的网站。
解决办法很简单:
1、打开360--高级--修复IE-勾选恢复HOSTS文件为默认状态--立即修复即可
2、直接手动找到HOST文件,用记事本打开后编辑他就行。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
O4 - 未知 - HKLM\..\Run: [mppds] [] C:\WINDOWS\mppds.exe
O4 - 未知 - HKLM\..\Run: [Snewpeek] [] C:\Program Files\WindowsUpdate\9.exe
系统的自启动项一直是大部分病毒的必争之地,这里需要你自己判断,一般除了CTFMON.exe、杀软、显卡和声卡驱动,其他的我都建议删除掉。
解决办法:
1、打开360--高级--启动项状态,把不用的禁用或删除了都行
2、开始--运行--输入‘MSCONFIG’--确定--启动--把不用的前面的勾去掉后确定。
3、兔子或优化等其他一些软件都有这功能,就不废口舌了。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
O22 - 未知 - Filename Extention: .hlp - winhlp32.exe %1
360对系统的文件关联错误也做了记录,若日志中出现以上提示,说明系统的文件关联出现了问题。
解决办法:
1、用360--高级--修复IE-勾选恢复协议文件关联--立即修复
2、用SRENG等其他软件修复。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
O10 - 未知 - Winsock LSP: [] [{144323B7-20C3-4B5F-B2A5-1CD0D6996DBC}]C:\WINDOWS\system32\idmmbc.dll
O10 - 未知 - Winsock LSP: [] [{179619BA-DEEB-4436-ABAF-82EEAF2F3816}]C:\WINDOWS\system32\idmmbc.dll
浏览器绑架,这个要判断后面的文件是否安全,有些杀毒软件通过绑架来达到对网络的监控,如果你查出文件不是杀软的话,那九成是有问题了,此处的问题一般能造成只能上QQ等软件而不能打开网页现象。
解决办法:
1、再打开360--高级-高级工具集--修复LSP连接
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
O23 - 未知 - Service: NetSys [管理系统网络连接,您可以查看系统网络连接。] - C:\WINDOWS\system32\NetSys.exe
O23 - 未知 - Service: RsCCenter [Rising Process Communication Center] - "E:\Program Files\Rising\Rav\CCenter.exe" - (running)
系统服务,现在很多病毒文件开始看好这块地方,360日志列出的一般是非系统服务的东西,这里出现的服务也要注意,不要被他的中文解释或文件名欺骗了。
解决办法:
1、删除掉服务的文件。如第一个的
C:\WINDOWS\system32\NetSys.exe需要删除,而第二个则是瑞星的服务,是安全的。
2、360——高级——系统服务状态,选中后进行停止
