读懂扫描报告,看透病毒

很多安全软件可以生成扫描报告，详细列出本机中的安全信息。只要看懂这份报告，我们就能看穿病毒的“心肝脾肺肾”，进而方便地铲除它们。

我们可以从扫描报告分析出电脑中的异常程序，从中发现隐患，也可以直接将报告贴到论坛，寻求高手们的帮助。求人不如求己，自己能看透扫描报告当然更好，今天我们以《360安全卫士》为例（下载地址ttp://www.360safet.

com），一起来解读它所生成的扫描报告。

诊断报告，轻松生成

运行《360安全卫士》后，单击主界面上的“求助”按钮，选择“导出诊断报告”标签，稍候片刻就能得到一份完整的诊断报告。扫描完成后，单击右下角的“保存到本机”，将报告保存为txt文件（图1）。为了减少不必要的干扰，强烈建议扫描时关闭其他程序。

仔细分析，包罗万象

首先了解一下报告中提到的主要扫描模块。

1.计算机基本信息：包括扫描时间、操作系统和IE版本、内存等信息。

2.当前活动进程：包括进程名称、路径、正在运行的服务、IE当前正在使用的插件等信息。如果有流氓软件、木马等恶意程序，大多可以在这个部分现形。

3.自启动程序，包括常见程序、自启动服务、系统关键登录进程。这里可以查看到所有随系统一起启动的程序。

4.《360安全卫士》操作历史报告，查看本机以往被《360安全卫士》清除的恶意软件。

可疑模块，全面解读

《360安全卫士》导出的报告中含有颜色支持的代码，把报告贴在官方论坛中，异常进程会以不同颜色显示出来，方便我们识别。

1.排查当前活动进程

非系统进程会显示成浅红色（同时标注为未知），而且排列在前面。通常，当前活动进程这个部分的信息都比较多，建议打开先前正常的扫描报告，比较后找出多出的进程再排查。比如，笔者的这份报告经过比较后，发现多出一个可疑IE的插件（图2）。

记下图2中的信息，启动注册表编辑器，单击“编辑查找”，以“2354A44B-3CEB-4829-9940-545B03103538”为关键字进行查找，很快就有发现，展开上述键值下的“InprocServer32”键，在右侧窗格可以看到插件位置是“C:\WINDOWS\DOWNLO~1\PowerPlr.ocx”。按提示删除这个文件和上述键值，这样就把恶意插件赶出门外（图3）。

2.追查恶意软件自启动

《360安全卫士》的报告可以扫描出系统内所有自启动程序，笔者发现一个名为“secureCD”的可疑服务，加载程序是“C:\WINDOWS\system32\drivers\secureCD.sys”，下面还列出程序的MD5值。打开设备管理器，将该设备禁用，重启后删除secureCD.sys。然后展开注册表，删除[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\secureCD]服务键值，顺利解决这个在安全模式下也会加载的病毒。

写在最后

现在不断出现新的病毒、流氓软件，流行的病毒还会有很多变种。只要及时、定期生成系统诊断报告，我们就可以时刻了解到电脑的健康情况，如果发现问题还能从中找到解决方法。