作者:nslog ( www.nslog.cn )
日期:2007/01/08 (转载请保留此申明)
写在前面
当确定一个系统可能存在问题的时候,首先要做的,就是找出系统的问题所在,这个时候我们就需要来“看懂”系统诊断日志,找出原因所在,然后再来做相应清除。虽然现在有很多的流氓清除软件,但跟杀毒软件一样,他们永远是跟着流氓软件后面在奔跑,当这个流氓是一个新出来的时候,必须要经过以下步骤:
厂商拿到样本——>分析——>加入特征码/病毒行为——>更新病毒特征库——用户下载——>查杀成功
所以有时不得以,我们需要自己来诊断一下,当然,这个诊断远没有想象的那么难。目前比较常用的诊断工具有Hijackthis,360safe,SRENG等几个软件。360safe经过几次升级,借鉴了Hijackthis的日志项,目前已经做得很完善了。本篇文章最早2006/10/10发于360官方的紧急救援区并长期置顶,今天把它拿过来,作为对我的BLOG的一个补充。
很多网络新手对于360的扫描日志看不懂,或者看了之后不知道怎么处理,
请花5分钟来了解一下,比你发了日志等待别人来解答强,要他救,更要自救。其实很多作很简单的:
使用方法:
确定可疑项——文件粉碎器删除相应文件——重启——用360修复注册表残留值
以下面这篇贴子为例:
http://bbs.360safe.com/viewthread.php?tid=11221&extra=page%3D1
这个日志其实最主要看6项:
02,浏览器辅助对象 ★★★★★
这个是最需要关注的重点之一。浏览器辅助对象(BHO),本来是IE提供其它程序扩展浏览器的功能所开放的接口,在浏览器启动的时候,自动加载。这个是几乎所有流氓广告软件的“兵家必争之地”。一般情况下,它可能有很多个,如:
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
在这一项中,我们一般看最后面一行,那个.dll文件的位置,这里是C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是这个ie模块对应的文件,从对应文件目录或者文件名上我们可以分辨这个模块到底是干什么用的—NetTransport是下载工具影音传送带,那么这一项就应该没问题。
如果你看到这个目录不认识,那就需要注意了。尤其注意这个.dll是位于temp目录或者windows/system32目录下,那就基本可以肯定是有问题的了,如示例文章的日志中,这两个都有肯定有问题的:
O2 - 未知 - BHO: (ShowBarEx Class) - [cn5940bar Module] - {15953528-6C01-481A-8DB4-01888FB85B7D} - C:\WINDOWS\system32\CN5940~1.DLL
O2 - 未知 - BHO: (IPCUSmartLink Class) - [Microsoft Internet Explorer Extension] - {A5352191-32C0-4EDB-B265-382F576C32FF} - C:\WINDOWS\system32\IPCUHelper2.dll
处理建议:
方法一:在360里——修复——全面诊断——浏览器辅助对象,选中之后进行修复。可以多试几次。
方法二:用Autoruns或者hijackthis这两个工具(www.nslog.cn)
04,自启动项 ★★★★★
历来自启动项是所有木马/病毒/流氓软件的“兵家必争之地”。当一个流氓软件入侵和被安装到用户机器之后,必然要想办法让用户下次启动计算机的时候,自身还可以运行。方法有多种,放到自启动是最常用最根本的一招。Windows的自启动有十多个地方,常用的如注册表、INI文件,启动组等。Hijackthis会把所有的自启动列出来。包括名称和运行的文件名。
如示例文章中的这个,一共有六项都有问题:
O4 - 高危险 - HKLM\..\Run: [SoundMam] [怀疑为恶意程序或病毒,请使用杀毒软件进行查杀。] C:\WINDOWS\system32\SVOHOST.exe
O4 - 未知 - HKLM\..\Run: [IEUpdates] [] C:\WINDOWS\system32\Updates.exe
O4 - 未知 - HKCU\..\Run: [updatereal] [] C:\WINDOWS\realupdate.exe other
O4 - 未知 - HKCU\..\Run: [daemon] [Microsoft 基础类应用程序] C:\WINDOWS\daemon.exe
O4 - 未知 - HKCU\..\Run: [wow] [] C:\WINDOWS\system32\Launcher.exe
O4 - 未知 - HKCU\..\Run: [zz] [] C:\WINDOWS\system32\intenet.exe
O4 - 高危险 - HKCU\..\Run: [rx] [疑为恶意程序或病毒。] C:\WINDOWS\system32\explore.exe
处理建议: 对于一般用户,我给出的建议是除了C:\windows\system32\ctfmon.exe这个输入法指示器,其它的除非你知道是自己安装的程序如(C:\program files\tencent\qq\qq.exe),其它的一律删除。如果修复了,它又偷偷出现,那么基本就肯定有问题(一般流氓软件都会有这种自我修复、保护的功能)。对应怀疑是流氓软件的,相应的.exe也要先删除了。
360里——修复——启动项,选中后进行修复,可以多做几次。
023,系统服务 ★★★★
系统服务是另外一个流氓软件越来越重视的地方。一般Windows系统的服务在这里不会显示出来。只有第三方安装的服务才会显示出来。所有显示的,都需要留心。
如示例文章中的三项都有问题:
O23 - 未知 - Service: NetSys [管理系统网络连接,您可以查看系统网络连接。] - C:\WINDOWS\system32\NetSys.exe
O23 - 未知 - Service: NetWorkLogon [支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。] - rundll32.exe
O23 - 未知 - Service: NetWorkLogons [支持网络上计算机远程登陆事件。如果此服务被停用,网络登陆将不可用。如果此服务被禁用,任何依赖它的服务将无法启动。] - rundll32.exe
处理建议: 如果知道是自己安装的如MySQL,Apahce这类可以不管,其它的服务一般会冒充,起一个类似于很象正常的名字,如Windows updatas, NTServices,等。我的建议是所有你不清楚的,全部删掉。尤其.exe的可执行路径位于windows,System32目录下的。(system32目录下的rundll32.exe除外,这个.exe文件不要删除,直接把服务删除便可)
360里——修复——系统服务,选中后进行修复,可以多做几次。
也可以在CMD窗口(开始——运行——cmd.exe)下输入:
sc delete "服务名" 来删除一个服务。
——如果360修复之后它又出现了,那么便先用顽固文件删除工具把相应的.exe给删除掉(见置底的),重启一下,然后再修复。
010,Winsock LSP“浏览器绑架”
这个是近来新出现的“相当”有恶意的流氓软件形径,如果用户把相关的文件删掉,会造成用户计算机无法访问网络!LSP全称为“Windows Socket Layered Service Provider”(分层服务提供商),这是Winsock 2.0才有的功能。通俗一点来说,它是Windows所有底层网络Socket通信需要经过的一个大门。而流氓软件在这个地方把自己的软件加进去了,这样就可以截取所有用户访问网络的数据包,可以针对性地投放广告,获取用户访问习惯——想一想,当你访问一个网络的时候,所有数据都被一只大眼睛盯着看,是什么感觉?而当用户如果不清楚删除这个.dll文件,那么就会造成用户不能访问网络。
如示例中有问题的:
O10 - 未知 - Winsock LSP: [] [{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10 - 未知 - Winsock LSP: [] [{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
O10 - 未知 - Winsock LSP: [] [{E70F1AA0-AB8B-11CF-8CA3-00805F48A192}]C:\WINDOWS\system32\RICHED40.dll
(正确的应该是 system32\mswsock.dll和rsvpsp.dll这两个。)
处理建议: 方法一:先删除对应的.dll文件,然后在 360里——修复——修复LSP连接。方法二:
方法二:先删除对应的.dll文件,然后下载Lsp-fix(http://www.cexx.org/lspfix.htm)这个工具
方法三:先删除对应的.dll文件,然后重装TCP/IP协议: http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html
*****************************************************************************************
以下为 360卫士2.0以后版本新增加的,对系统诊断也很有帮助,只建议高级用户诊断使用:
2006年12月20更新
*****************************************************************************************
040,系统进程加载项
现在有一些流氓软件升级之后,不是通过BHO或者Services来加载,没有一个独立的可执行程序,那样很容易被发觉。它们就通过注入到系统进程空间(如exploer.exe资源管理器),把自己变为正常系统的一部分,这样只要你开了资源管理器,它就在后台运行着了。如下面的:
O40 - Explorer.EXE - - C:\WINDOWS\system32\dllwm.dll - - 55125f396efcc0ce7e3f4522669d8cdb
O40 - Explorer.EXE - - C:\WINDOWS\system32\dms.dll - - d2b55c379eeabef0b8925dc8e9a1a58e
360会显示所有没有经常Windows签名的.dll文件,即非微软官方的,这些都是可疑的以及重点查处的对象(当然,不是说100%有问题)
处理建议:
必须要删除对应的.dll文件,删除办法有几种:
1、用文件粉碎器
2、用unlocker
3、试着到安全模式下删除
041,系统驱动
系统驱动是Windows系统最底层的,它没有进程,没有可执行文件,是通过在drivers目录下的.sys文件来体现。也是所有流氓软件用得最高的一招,象前段时间流行的MY123,飘雪以及几个大流氓:CNNIC,MyIEHelper等,因为采取种种保护策略,所以一般用户很难处理,如下面这个:
O41 - csysiymq - csysiymq - C:\WINDOWS\system32\drivers\csysiymq.sys - (running) - - -
. O41 - dtscsi - dtscsi - C:\WINDOWS\system32\drivers\dtscsi.sys - (running) - - -
O41 - IBMPMDRV - IBMPMDRV - C:\WINDOWS\system32\drivers\ibmpmdrv.sys - (running) - - - 7514f26bd730a23b4dcd0f51cd007add
360会显示所有没有经过Windows签名的驱动文件作为分析参考的依据,同样的道理,这里面也有非常多的其它正常软件,如瑞星,卡巴等,这里的处理要求高一点,需要有一定的经验。如果上面几项都处理完了,还有主页被改,弹窗口等现象,就需要考察这里了。
处理建议:
必须要删除对应的.sys文件,删除办法有几种:
1、用文件粉碎器
2、用unlocker
3、试着到安全模式下删除
以上所有修复不成功的,一般都流氓软件有自我保护功能,可以用下面的办法:
1、用顽固文件删除工具,请参考:
http://bbs.360safe.com/viewthread.php?tid=9432&extra=page%3D1
2、找出流氓软件的驱动保护:
http://hi.baidu.com/nslog/blog/item/c08cbefb2c6b5c224f4aea91.html
其它参考:
360safe安全卫士下载
http://www.360safe.com
Hijackthis浏览器劫持日志精解
http://hi.baidu.com/nslog/blog/item/b208922f52cb04381e30895f.html
清除流氓软件的第一利器(IceSword)
http://hi.baidu.com/nslog/blog/item/14bc35dbac337866d1164e21.html
WinXP/2000/2003下如何重装TCP/IP协议
http://hi.baidu.com/nslog/blog/item/c478d5f942b94359242df26f.html
