360系统诊断报告用法.doc

必须说明的是：以下只是我对看360日志（V3版）的学习总结，有些东西来自于一些高手门的指导，在此感谢下老大他们，还有就是，看懂360日志需要一定的电脑知识，特别是对系统文件和进程的认识，如果你在这方面的积累还不够的话，看起来会比较吃力。文章内提到的所有的删除操作都建议到安全模式下进行，最好使用KILLBOX来删除或者用冰刃的文件功能进行查找删除，因为有些病毒采用了隐藏技术，需要用到冰刃的文件功能才能看到文件。请先确认哪些文件是需要删除的再到安全模式下一次性删除，避免有些病毒删除不干净而再次被激活以下对网上的一些求助贴截取一些进行我个人的解释：-O2 - 低危险 - BHO: (CnsHook Class) - 网络实名 - D157330A-9EF3-49F8-9A67-4141AC41ADD4 - C:WINDOWSDOWNLO1CnsHook.dllO4 - 高危险 - HKLM.Run: CnsMin 雅虎助手相关程序。 Rundll32.exe C:WINDOWSDOWNLO1CnsMin.dll,Rundll32O4 - 高危险 - HKLM.Run: helper.dll 怀疑为恶意程序或病毒，请使用杀毒软件进行查杀。 C:WINDOWSsystem32rundll32.exe C:PROGRA13721helper.dll,Rundll32一般情况下360日志如果是以红色显示的话，我是推荐你不管三七二一把那文件砍掉了，如上几个文件，可以删除了的文件为：C:WINDOWSDOWNLO1CnsHook.dllC:WINDOWSDOWNLO1CnsMin.dllC:PROGRA13721helper.dll（注意这一项！是删除了C:PROGRA13721helper.dll这个文件，而不是删除了C:WINDOWSsystem32rundll32.exe这个，C:WINDOWSsystem32目录下的rundll32.exe是正常的系统文件，其他目录下的rundll32.exe则十有八九是病毒文件）注意:由于360扫描的是注册表，所以不一定在你的系统中找得到这个文件，如果你找到了删除他，找不到就跳过了吧，但是还是建议你要冰刃的文件功能进行查找，不要去徒手查找。删除完成后在用360修复启动项（工具-启动项状态）和BHO插件（修复-修复浏览器-BHO插件）-100 - 未知 - Process: 9.exe - C:Program FilesWindowsUpdate9.exe100 - 未知 - Process: winlog0n.exe - C:WINDOWSwinlog0n.exe100 - 未知 - Process: QQ.exe QQ - D:QQQQ.exe360日志隐藏了系统的安全进程，而对未知的进程进行了记录显示，如上，遇到未知的进程，是我们必须特别注意的地方。上面的三个进程我们可以判断出：C:Program FilesWindowsUpdate9.exeC:WINDOWSwinlog0n.exe这两个为病毒文件，必须给于删除，而D:QQQQ.exe则为正常的QQ的程序文件，在这里有个小技巧可以提高你看日志的速度，就是一般我们只需要注意在系统盘下的进程，其他盘的进程一般不必留意，除非你把系统的临时文件夹目录移动到了其他盘中，那才需要考虑。-O1 - 未知 - Host: 36 O1 - 未知 - Host: 0 360对Host文件也进行了扫描，并对修改了的HOST文件进行了记录，如上，如果你发现了解析的地址象上面一样，指向了一个陌生的IP地址，而非你自己编辑HOSTS文件的话，那么八成是病毒修改了定向，强迫你上他指定的网站。解决办法很简单：1、打开360-修复-勾选恢复HOSTS文件为默认状态-立即修复即可2、直接手动找到HOST文件，用记事本打开后编辑他就行。-O4 - 未知 - HKLM.Run: mppds C:WINDOWSmppds.exeO4 - 未知 - HKLM.Run: Snewpeek C:Program FilesWindowsUpdate9.exe系统的自启动项一直是大部分病毒的必争之地，这里需要你自己判断，一般除了CTFMON.exe、杀软、显卡和声卡驱动，其他的我都建议删除掉。解决办法：1、打开360-工具-启动项状态，把不用的禁用或删除了都行2、开始-运行-输入MSCONFIG-确定-启动-把不用的前面的勾去掉后确定。3、兔子或优化等其他一些软件都有这功能，就不废口舌了。-O22 - 未知 - Filename Extention: .hlp - winhlp32.exe %1360对系统的文件关联错误也做了记录，若日志中出现以上提示，说明系统的文件关联出现了问题。解决办法：1、用360-修复-文件关联-立即修复2、用SRENG等其他软件修复。-O10 - 未知 - Winsock LSP: 144323B7-20C3-4B5F-B2A5-1CD0D6996DBCC:WINDOWSsystem32idmmbc.dllO10 - 未知 - Winsock LSP: 179619BA-DEEB-4436-ABAF-82EEAF2F3816C:WINDOWSsystem32idmmbc.dll浏览器绑架，这个要判断后面的文件是否安全，有些杀毒软件通过绑架来达到对网络的监控，如果你查出文件不是杀软的话，那九成是有问题了解决办法：1、删除了后面那个文件，再打开360-修复-修复LSP连接-O23 - 未知 - Service: NetSys 管理系统网络连接，您可以查看系统网络连接。 - C:WINDOWSsystem32NetSys.exeO23 - 未知 - Service: RsCCenter Rising Process Communication Center - E:Program FilesRisingRavCCenter.exe - (running)系统服务，现在很多病毒文件开始看好这块地方，360日志列出的一般是非系统服务的东西，这里出现的服务也要注意，不要被他的中文解释或文件名欺骗了。解决办法：1、删除掉服务的文件。如第一个的 C:WINDOWSsystem32NetSys.exe需要删除，而第二个则是瑞星的服务，是安全的。2、360工具系统服务状态，选中后进行修复-100 - 安全 - Process: smss.exe 进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。 - C:WINDOWSSystem32smss.exe这一类的标示安全的一般可以跳过不看的，目前我还不明白为什么360日志要留他。-O40 - Explorer.EXE - C:WINDOWSDOWNLO1CnsMin.dll -O40 - Explorer.EXE - 北京三七二一科技有限公司 - C:WINDOWSDOWNLO1CnsHook.dll - 3721 CNS Module - 6d6a7a32cb01b8c41a41d61c7539cad3O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:Program FilesThunder NetworkThunderComDllsXunLeiBHO_002.dll - XunLeiBHO - 8915c81b9c015cf5571fad917a614a85系统进程加载项，现在的病毒和高级点的流氓软件为了达到隐藏，加大删除难度的目的而把文件注入到系统进程中，变成了系统的一部分。现在越来越多的LJ采用了这种手段。判断技巧：1、查看其签名，一般没啥签名象第一个的这种最可疑，应该优先考虑他是否有问题2、有了签名也不一定就没问题，象第二个，很清楚地用中文签了名，却是流氓软件的老大3721，你不删？3、第三个安全的，是讯雷的加载项，当然也是可以删除的。-O41 - kdkgna - sys 应用程序 - C:WINDOWSsystem32driverskdkgna.sys - (running) - sys 应用程序 - 北京三七二一科技有限公司 - c096dc989756c7d6a57f3fdc9bc3b9cfO41 - msnet - msnet - C:WINDOWSsystem32driversmsnet.sys - (running) - 89a990c58656697bf71e756d746b6d2aO41 - klif - spuper-ptor - C:WINDOWSsystem32driversklif.sys - (running) - spuper-ptor - Kaspersky Lab - 2985985b39e13643f941b6396fb915ddO41 - NPF - npf - C:WINDOWSsystem32driversnpf.sys - (not running) - npf - CACE Technologies - d21fee8db254ba762656878168ac1db6现在很多流氓软件采取了驱动保护，使得自身的生命力更强大，如第一、二个等，都是需要删除的文件，这个也要靠自己的知识库去判断，而第三个则是咔吧的驱动程序，我想你不会牛到连他也砍了吧。-为了让你加快看日志的速度，写多几点小经验：1、记住一些常见的进程，比如一些杀软的进程名，还有就是一些程序的安装目录名，都是可以帮助你快速过滤掉正常的文件的。2、服务和驱动项中如标示的是(not running)的，一般可以忽略不看，等到如果你反复查杀还是老出问题的话再考虑他。3、碰到不知道是