选择诊断求助,勾选文件详细信息和文件名相似分析
扫描导出日志
好了,打开日志最大化自己看
首选看见的是系统服务,看下面例子
+ HKLM\System\CurrentControlSet\Services
NVSvc
[AM] 1. c:\windows\system32\nvsvc32.exe
NVIDIA Corporation
NVIDIA Driver Helper Service, Version 81.98
.text,.rdata,.data,.rsrc,
第一行是注册表路径,第二行是文件名,第三行是文件路径,第四行是公司名称,第五行是文件说明,第六行是文件预定义段,A代表有关联,M代表文件正在运行
好了,开始简单判断病毒
例1:使用百度搜索或者询问他人文件名是否异常,如果文件名很可疑,则这个文件可能是病毒
+ HKLM\System\CurrentControlSet\Services
NVSvc
[AM] 1. c:\windows\system32\nvsvc31.exe
NVIDIA
NVIDIA
.text,.rdata,.data,.rsrc,
例2:看看第四行公司信息和文件说明吧,如果没有第四行和第五行,但有第六行文件预定义段,则这个文件很可疑,正规软件不会连个说明都没有吧
+ HKLM\System\CurrentControlSet\Services
NVSvc
[AM] 1. c:\windows\system32\nvsvc31.exe
.text,.rdata,.data,.rsrc,
例3:如果连“.text,.rdata,.data,.rsrc,”这个也没有,则该文件不在计算机内存在
+ HKLM\System\CurrentControlSet\Services
NVSvc
[AM] 1. c:\windows\system32\nvsvc31.exe
例3:svchost.exe为什么变成病毒了,因为他的文件路径错了,要怎么判断文件路径对不对,百度一下,你就知道,一般系统文件都放在c:\windows\system32下,只有explorer.exe放在c:\windows\下面
+ HKLM\System\CurrentControlSet\Services
NVSvc
[AM] 1. c:\windows\svchost.exe
.text,.rdata,.data,.rsrc,
了解了一个文件结构,再来看看整个日志结构
日志分系统服务,内核驱动,系统登陆自运行,IE浏览器加载模块,资源管理器加载模块,用户登陆自运行项目,开机执行,映像劫持,其他自启动项目,正在运行的进程,一共10个方面
1.问:我怎么判断病毒
答:文件名和系统文件名类似(如例1),没有文件信息(如例2),文件路径不对(如例4)
2.问:日志中只有一个文件路径的文件是什么(如例三)
答:该文件不存在,用卡卡助手的启动项管理删除
3.问:为什么正在运行的进程里有一个文件被好多文件使用
答:百度搜索该文件名,如果是病毒,则到安全模式下删除
4.问:我不能确定这个文件是不是病毒,怎么办
答:把可疑文件发到这里http://up.rising.com.cn/webmail/uploadnew.htm
5.问:“.text,.rdata,.data,.rsrc,”这行虽然我看不懂,但如果这行变成了乱码怎么办
答:该文件很可能是病毒,请上报
6.问:日志中哪些地方会常见病毒
答:日志分系统服务,内核驱动,系统登陆自运行,用户登陆自运行项目,开机执行,其他自启动项目,正在运行的进程(特别检查IEXPLORE.EXE和explorer.exe等调用了哪些dll文件)
