杀毒软件搞不定 “360安全卫士”来帮忙

据国外某公司测试，目前的杀毒软件在查杀新病毒上，只有20%～30%的查杀率，而在实际使用电脑中，也经常会出现，杀毒软件查到病毒，但就是无法杀掉的情况，如果真是如此难道只能任“毒”宰割吗？其实，高手们一般通过手动杀毒来解决问题，只是如何才能正确找到病毒的藏身之处呢？360安全卫士的日志就能帮助你。

生成日志

运行“360安全卫士”，单击“求助”按钮，接着单击“导出诊断报告”按钮就可以看到日志了。360安全卫士的日志(以下简称360日志)和Hijackthis(另一款安全工具)的日志格式相似。具体的涵义可以参考.cn/index.php/14246/action_viewspace_itemid_255662。

杀毒软件不成的，它来干

下面我们就以实例的形式来介绍那些杀毒软件都搞不定的病毒，一般是杀毒软件可以扫描和提示病毒名，但不能删除病毒，同时无法分析出该木马的所有主体文件或者根本无法扫描出来。这是日志分析优于杀软查杀的关键所在。

实例一:

第一项:O2 - 低危险 - BHO: (CnsHook Class) - [网络实名] - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\Windows\DOWNLO~1\CnsHook.dll

第二项:O4 - 高危险 - HKLM\..\Run: [CnsMin] [雅虎助手相关程序。] Rundll32.exe C:\Windows\DOWNLO~1\CnsMin.dll，Rundll32

第三项:O4 - 高危险 - HKLM\..\Run: [helper.dll] [怀疑为恶意程序或病毒，请使用杀毒软件进行查杀。] C:\Windows\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll，Rundll32

分析:一般情况下，日志前若有“低危险”、“高危险”等提示，则可诊断为应该删除的文件。通过以上日志，可以从签名看出文件(C:\Windows\DOWNLO~1\CnsHook.dll)属于【网络实名】，文件C:\Windows\DOWNLO~1\CnsMin.dll属于【雅虎助手相关程序。】，两个都属于流氓软件，而文件C:\PROGRA~1\3721\helper.dll没有签名，属于可疑文件，但我们可以通过文件路径判断出该文件属于【3721】。三个文件都属于流氓软件的文件，可诊断为“删除”。

请注意第三项，日志显示有两个文件路径，我们需要删除的是C:\PROGRA~1\3721\helper.dll这个文件，而不是删除C:\Windows\system32\rundll32.exe，C:\Windows\system32目录下的rundll32.exe是正常的系统文件，其他目录下的rundll32.exe则十有八九是病毒文件，必须留意。

实例二:

第一项:O40 - Explorer.EXE -- C:\Windows\system32\tfawwqoi0.dll --

第二项:O41 - 63y0sz - 63y0sz - C:\Windows\system32\drivers\63y0sz.sys - (running) --

分析:这两项是木马Trojan-Downloader.Win32.Small.gnl的驱动保护文件和动态库文件，在以前的求助帖中杀毒软件表现为只能发现病毒(报告为:已检测到 木马程序 Trojan-Downloader.Win32.Small.gnl)，但不能删除病毒，同时报告不能显示出该木马的所有主体文件，只有通过日志分析，我们才能够确定该木马的所有主体文件，接着，我们只需要使用强制删除文件工具如XDelBox将分析出来的病毒主体文件删除即可。

看懂日志的小技巧

①记住常见的进程以及程序的安装文件夹，可以在分析日志过程中帮助我们过滤掉正常文件。

②服务项和驱动项中如标示为(not running)，一般可以忽略不看，若反复查杀后系统依旧出问题，再分析该类文件是否有问题。

③碰到陌生的文件，用搜索引擎查找一下相关资料，搜索不到的就直接删除，即使删错了也最多是一些平时少用的或新出的软件，最多重装下该软件。系统干净最重要，要保险点可以先备份了文件再删除。

④用IceSword的文件功能还找不到你要删的文件的话，可能那文件已经被删除了，只是还停留在注册表信息中，删除掉注册表中的残余信息即可。