菜鸟也能看懂360日志~~(转自360论坛)

50and2

转自360论坛，感谢原创作者360论坛网友 高桥凉水
原贴地址 http://bbs.360safe.com/viewthrea ... p%3Bfilter%3Ddigest



必须说明的是：以下只是我对看360日志（V3版）的学习总结，有些东西来自于一些高手门的指导，在此感谢下老大他们，还有就是，看懂360日志需要一定的电脑知识，特别是对系统文件和进程的认识，如果你在这方面的积累还不够的话，看起来会比较吃力。

文章内提到的所有的删除操作都建议到安全模式下进行，最好使用KILLBOX来删除或者用冰刃的文件功能进行查找删除，因为有些病毒采用了隐藏技术，需要用到冰刃的文件功能才能看到文件。

请先确认哪些文件是需要删除的再到安全模式下一次性删除，避免有些病毒删除不干净而再次被激活


  

以下对网上的一些求助贴截取一些进行我个人的解释：

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O2 - 低危险 - BHO: (CnsHook Class) - [网络实名] - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - 高危险 - HKLM\..\Run: [CnsMin] [雅虎助手相关程序。] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 高危险 - HKLM\..\Run: [helper.dll] [怀疑为恶意程序或病毒，请使用杀毒软件进行查杀。] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32


一般情况下360日志如果是以红色显示的话，我是推荐你不管三七二一把那文件砍掉了，如上几个文件，可以删除了的文件为：
C:\WINDOWS\DOWNLO~1\CnsHook.dll
C:\WINDOWS\DOWNLO~1\CnsMin.dll
C:\PROGRA~1\3721\helper.dll（注意这一项！！是删除了C:\PROGRA~1\3721\helper.dll这个文件，而不是删除了C:\WINDOWS\system32\rundll32.exe这个，C:\WINDOWS\system32目录下的rundll32.exe是正常的系统文件，其他目录下的rundll32.exe则十有八九是病毒文件）

注意:由于360扫描的是注册表，所以不一定在你的系统中找得到这个文件，如果你找到了删除他，找不到就跳过了吧，但是还是建议你要冰刃的文件功能进行查找，不要去徒手查找。删除完成后在用360修复启动项（工具--启动项状态）和BHO插件（修复--修复浏览器--BHO插件）

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

100 - 未知 - Process: 9.exe [] - C:\Program Files\WindowsUpdate\9.exe
100 - 未知 - Process: winlog0n.exe [] - C:\WINDOWS\winlog0n.exe
100 - 未知 - Process: QQ.exe [QQ] - D:\QQ\QQ.exe

360日志隐藏了系统的安全进程，而对未知的进程进行了记录显示，如上，遇到未知的进程，是我们必须特别注意的地方。上面的三个进程我们可以判断出：
C:\Program Files\WindowsUpdate\9.exe
C:\WINDOWS\winlog0n.exe
这两个为病毒文件，必须给于删除，而D:\QQ\QQ.exe则为正常的QQ的程序文件，在这里有个小技巧可以提高你看日志的速度，就是一般我们只需要注意在系统盘下的进程，其他盘的进程一般不必留意，除非你把系统的临时文件夹目录移动到了其他盘中，那才需要考虑。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O1 - 未知 - Host: 58.215.65.136 www.hyap98.com
O1 - 未知 - Host: 58.215.74.70 my.dianz.cn

360对Host文件也进行了扫描，并对修改了的HOST文件进行了记录，如上，如果你发现了解析的地址象上面一样，指向了一个陌生的IP地址，而非你自己编辑HOSTS文件的话，那么八成是病毒修改了定向，强迫你上他指定的网站。
解决办法很简单：
1、打开360--修复--勾选恢复HOSTS文件为默认状态--立即修复即可
2、直接手动找到HOST文件，用记事本打开后编辑他就行。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O4 - 未知 - HKLM\..\Run: [mppds] [] C:\WINDOWS\mppds.exe
O4 - 未知 - HKLM\..\Run: [Snewpeek] [] C:\Program Files\WindowsUpdate\9.exe

系统的自启动项一直是大部分病毒的必争之地，这里需要你自己判断，一般除了CTFMON.exe、杀软、显卡和声卡驱动，其他的我都建议删除掉。
解决办法：
1、打开360--工具--启动项状态，把不用的禁用或删除了都行
2、开始--运行--输入‘MSCONFIG’--确定--启动--把不用的前面的勾去掉后确定。
3、兔子或优化等其他一些软件都有这功能，就不废口舌了。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O22 - 未知 - Filename Extention: .hlp - winhlp32.exe %1

360对系统的文件关联错误也做了记录，若日志中出现以上提示，说明系统的文件关联出现了问题。
解决办法：
1、用360--修复--文件关联--立即修复
2、用SRENG等其他软件修复。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O10 - 未知 - Winsock LSP: [] [{144323B7-20C3-4B5F-B2A5-1CD0D6996DBC}]C:\WINDOWS\system32\idmmbc.dll
O10 - 未知 - Winsock LSP: [] [{179619BA-DEEB-4436-ABAF-82EEAF2F3816}]C:\WINDOWS\system32\idmmbc.dll

浏览器绑架，这个要判断后面的文件是否安全，有些杀毒软件通过绑架来达到对网络的监控，如果你查出文件不是杀软的话，那九成是有问题了
解决办法：
1、删除了后面那个文件，再打开360--修复--修复LSP连接

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O23 - 未知 - Service: NetSys [管理系统网络连接，您可以查看系统网络连接。] - C:\WINDOWS\system32\NetSys.exe
O23 - 未知 - Service: RsCCenter [Rising Process Communication Center] - "E:\Program Files\Rising\Rav\CCenter.exe" - (running)
系统服务，现在很多病毒文件开始看好这块地方，360日志列出的一般是非系统服务的东西，这里出现的服务也要注意，不要被他的中文解释或文件名欺骗了。
解决办法：
1、删除掉服务的文件。如第一个的 C:\WINDOWS\system32\NetSys.exe需要删除，而第二个则是瑞星的服务，是安全的。
2、360——工具——系统服务状态，选中后进行修复



---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe

这一类的标示安全的一般可以跳过不看的，目前我还不明白为什么360日志要留他。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O40 - Explorer.EXE -  - C:\WINDOWS\DOWNLO~1\CnsMin.dll -  -
O40 - Explorer.EXE - 北京三七二一科技有限公司 - C:\WINDOWS\DOWNLO~1\CnsHook.dll - 3721 CNS Module - 6d6a7a32cb01b8c41a41d61c7539cad3
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll - XunLeiBHO - 8915c81b9c015cf5571fad917a614a85

系统进程加载项，现在的病毒和高级点的流氓软件为了达到隐藏，加大删除难度的目的而把文件注入到系统进程中，变成了系统的一部分。现在越来越多的LJ采用了这种手段。

判断技巧：
1、查看其签名，一般没啥签名象第一个的这种最可疑，应该优先考虑他是否有问题
2、有了签名也不一定就没问题，象第二个，很清楚地用中文签了名，却是流氓软件的老大3721，你不删？？
3、第三个安全的，是讯雷的加载项，当然也是可以删除的。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

O41 - kdkgna - sys 应用程序 - C:\WINDOWS\system32\drivers\kdkgna.sys - (running) - sys 应用程序 - 北京三七二一科技有限公司 - c096dc989756c7d6a57f3fdc9bc3b9cf
O41 - msnet - msnet - C:\WINDOWS\system32\drivers\msnet.sys - (running) -  -  - 89a990c58656697bf71e756d746b6d2a
O41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (running) - spuper-ptor - Kaspersky Lab - 2985985b39e13643f941b6396fb915dd
O41 - NPF - npf - C:\WINDOWS\system32\drivers\npf.sys - (not running) - npf - CACE Technologies - d21fee8db254ba762656878168ac1db6


现在很多流氓软件采取了驱动保护，使得自身的生命力更强大，如第一、二个等，都是需要删除的文件，这个也要靠自己的知识库去判断，而第三个则是咔吧的驱动程序，我想你不会牛到连他也砍了吧。。。。

---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


为让你加快看日志的速度，写多几点小经验：
1、记住一些常见的进程，比如一些杀软的进程名，还有就是一些程序的安装目录名，都是可以帮助你快速过滤掉正常的文件的。
2、服务和驱动项中如标示的是(not running)的，一般可以忽略不看，等到如果你反复查杀还是老出问题的话再考虑他。
3、碰到不知道是什么东西的文件，用百度搜索一下，百度搜索不到的直接砍了，即使是砍错了也最多是一些偏僻或新出的软件，最多重装下软件。系统干净最重要，要保险点可以先备份了文件再删。
4、用冰刃的文件功能还找不到你要删的文件的话，那就不要再找了，可能那文件根本就已经被删掉了，只是还停留在注册表中而已，有洁癖的朋友可以用SRENG来删除掉注册表中的残余信息。
5、做了上面的东西后最好再用兔子或者优化大师清理掉垃圾文件和清理下注册表。
6、还没想到，想到了再补上。

[ 本帖最后由 50and2 于 2008-2-17 10:39 编辑 ]

50and2

沙发我自己要了~~

abluedog

好！

backfirer

..........还是有点看不懂 看来我八是菜鸟

50and2

大家都是从菜鸟变成高手的，不要灰心哈~~

chommy

很少用360的说

gaojinggaowei

还不是很细,如果能写出为何判断为病毒就好咯

刘建霖

谢谢楼主提供分享!!!

wyts01

我用的就是360,它的日志扫描我已经差不多看懂了~~
感谢下LZ~~