最近恶意流氓软件又有爆发趋势,一些破坏安全软件的使用以及影响360安全卫士等运行的程序又有抬头。下面就简单的介绍下如何分析360安全卫士诊断报告方法
面就是一份360安全卫士的诊断报告:(正常的程序已经排除)
进程和开机运行部分:
100 - 未知 - Process: atllxrsee.exe [] - C:\WINDOWS\atllxrsee.exe
100 - 未知 - Process: cusyxpjf.exe [] - C:\WINDOWS\cusyxpjf.exe /d: C:\DOCUME~1\new\LOCALS~1\Temp\tmp23.tmp
100 - 未知 - Process: update.exe [] - C:\WINDOWS\system32\drivers\update.exe
100 - 未知 - Process: cusyxpjf.exe [] - C:\WINDOWS\cusyxpjf.exe /d: c:\windows\system32\drivers\y2.exe
100 - 未知 - Process: SHICompress.dll [] - C:\WINDOWS\system32\SHICompress.dll qwcjxbgwow.dll
100 - 未知 - Process: SHICompress.dll [] - C:\WINDOWS\system32\SHICompress.dll insxglqwow.dll
100 - 未知 - Process: death.exe [] - C:\WINDOWS\system32\death.exe
O4 - 未知 - HKLM\..\Run: [MsPrint32D] [] C:\WINDOWS\nqecgz.exe
O4 - 未知 - HKLM\..\Run: [WinSysM] [] C:\WINDOWS\49400M.exe
O4 - 未知 - HKLM\..\Run: [atllxrsee] [] C:\WINDOWS\atllxrsee.exe
O4 - 未知 - HKCU\..\Run: [death.exe] [] C:\WINDOWS\system32\death.exe
这个部分一般都是你安装并使用的程序,像QQ、迅雷、IE以及杀毒软件的服务等常见的程序,一般不会有C:\WINDOWS\、C:\WINDOWS\system32\和C:\WINDOWS\system32\drivers\路径下程序。
=======================================
中间2部分为安全进程以及系统程序等,在此略去不谈。
======================================= 加载到系统的动态链接文件部分:
O40 - winlogon.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - winlogon.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - winlogon.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - winlogon.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - services.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - services.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - services.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - services.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - lsass.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - lsass.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - lsass.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - lsass.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - svchost.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - svchost.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - svchost.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - svchost.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - svchost.exe - - C:\WINDOWS\System32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - svchost.exe - - C:\WINDOWS\System32\ijougiemnaw.dll - -
O40 - svchost.exe - - C:\WINDOWS\System32\niluw.dll - -
O40 - svchost.exe - - C:\WINDOWS\System32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - svchost.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - svchost.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - svchost.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - svchost.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - svchost.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - svchost.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - svchost.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - explorer.exe - - C:\WINDOWS\system32\utgnehz.dll - - 1c3c365c92d76c66515ec47097b9d010
O40 - explorer.exe - - C:\WINDOWS\system32\ijougiemnaw.dll - -
O40 - explorer.exe - - C:\WINDOWS\system32\niluw.dll - -
O40 - explorer.exe - - C:\WINDOWS\system32\naixuhz.dll - - 22ce9cf7a074c8d3736426dd393c0df3
O40 - explorer.exe - Microsoft Corporation - C:\WINDOWS\system32\insxglqwow.dll - Windows XP MSPLAY API DLL - 247e9cb0df604afee27060ba8af39451
O40 - explorer.exe - Microsoft Corporation - C:\WINDOWS\system32\qwcjxbgwow.dll - Windows XP MSPLAY API DLL - 9ed40eef30e8ed6c8b96e1e56629d2ec
上面的几个动态文件加载到多个系统程序里面,而且程序都没签名、没有程序相关公司。最后一个虽然有签名但是在第一部分:
100 - 未知 - Process: SHICompress.dll [] - C:\WINDOWS\system32\SHICompress.dll qwcjxbgwow.dll
100 - 未知 - Process: SHICompress.dll [] - C:\WINDOWS\system32\SHICompress.dll insxglqwow.dll
所以他们也是伪装成微软文件的恶意文件。
======================================= 系统服务部分:
O41 - mseqsy - mseqsy - C:\WINDOWS\system32\drivers\msacpe.sys - (running) - - - 31a55cd3d14b0fcb3fcfa59e7c0b2e78
O41 - msskye - msskye - C:\WINDOWS\system32\drivers\msaclue.sys - (running) - - - 594bf199855903efd698e64de8138af6
检查文件的签名是最快捷有效的方法,不能确定的程序文件就百度搜索。
清理方法:
复制整理恶意程序文件路径,例如:
C:\WINDOWS\atllxrsee.exe
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\SHICompress.dll
C:\WINDOWS\system32\drivers\msacpe.sys
C:\WINDOWS\system32\drivers\msaclue.sys
然后复制上面整个路径,使用360文件粉碎机(不是360安全卫士里面集成的,是单独的版本)的“导入文件列表”的“粘贴文件列表”,然后“全选”“删除”就OK了。