讀懂掃描報告，看透病毒

很多安全軟件可以生成掃描報告，詳細列出本機中的安全信息。只要看懂這份報告，我們就能看穿病毒的“心肝脾肺腎”，進而方便地鏟除它們。

我們可以從掃描報告分析出電腦中的異常程序，從中發現隱患，也可以直接將報告貼到論壇，尋求高手們的幫助。求人不如求己，自己能看透掃描報告當然更好，今天我們以《360安全衛士》為例（下載地址ttp://www.360safet.

com），一起來解讀它所生成的掃描報告。

診斷報告，輕松生成

運行《360安全衛士》后，單擊主界面上的“求助”按鈕，選擇“導出診斷報告”標簽，稍候片刻就能得到一份完整的診斷報告。掃描完成后，單擊右下角的“保存到本機”，將報告保存為txt文件（圖1）。為了減少不必要的干擾，強烈建議掃描時關閉其他程序。

仔細分析，包羅萬象

首先了解一下報告中提到的主要掃描模塊。

1.計算機基本信息：包括掃描時間、操作系統和IE版本、內存等信息。

2.當前活動進程：包括進程名稱、路徑、正在運行的服務、IE當前正在使用的插件等信息。如果有流氓軟件、木馬等惡意程序，大多可以在這個部分現形。

3.自啟動程序，包括常見程序、自啟動服務、系統關鍵登錄進程。這里可以查看到所有隨系統一起啟動的程序。

4.《360安全衛士》操作歷史報告，查看本機以往被《360安全衛士》清除的惡意軟件。

可疑模塊，全面解讀

《360安全衛士》導出的報告中含有顏色支持的代碼，把報告貼在官方論壇中，異常進程會以不同顏色顯示出來，方便我們識別。

1.排查當前活動進程

非系統進程會顯示成淺紅色（同時標注為未知），而且排列在前面。通常，當前活動進程這個部分的信息都比較多，建議打開先前正常的掃描報告，比較后找出多出的進程再排查。比如，筆者的這份報告經過比較后，發現多出一個可疑IE的插件（圖2）。

記下圖2中的信息，啟動注冊表編輯器，單擊“編輯→查找”，以“2354A44B-3CEB-4829-9940-545B03103538”為關鍵字進行查找，很快就有發現，展開上述鍵值下的“InprocServer32”鍵，在右側窗格可以看到插件位置是“C:\\WINDOWS\\DOWNLO~1\\PowerPlr.ocx”。按提示刪除這個文件和上述鍵值，這樣就把惡意插件趕出門外（圖3）。

2.追查惡意軟件自啟動

《360安全衛士》的報告可以掃描出系統內所有自啟動程序，筆者發現一個名為“secureCD”的可疑服務，加載程序是“C:\\WINDOWS\\system32\\drivers\\secureCD.sys”，下面還列出程序的MD5值。打開設備管理器，將該設備禁用，重啟后刪除secureCD.sys。然后展開注冊表，刪除[HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001Services\\secureCD]服務鍵值，順利解決這個在安全模式下也會加載的病毒。

寫在最后

現在不斷出現新的病毒、流氓軟件，流行的病毒還會有很多變種。只要及時、定期生成系統診斷報告，我們就可以時刻了解到電腦的健康情況，如果發現問題還能從中找到解決方法。