瑞星卡卡安全论坛

谢谢老师提醒，我也键盘误了……（其实我在卡卡论坛已经很小心很小心了，生怕哪错了酿成大错，唉，粗心的毛病+不爽的输入法，呵呵）
关于你讲的那一段系统变量，以前学JAVA（初学）的时候，就只知道按照老师说的添加系统变量、用户变量。现在终于明白有一些眉目了，真谢谢你啊！对了用户变量又是什么呢，是不是和系统变量也类似呢？可否简单介绍几句。另外，今天看到一位网友提出的问题“输入regedit 回车后弹出打开方式的对话框”，我想会不会是系统变量出了问题，请老师说说您自己的看法吧，谢谢~
《再次感谢我们可爱的老师，辛苦咯!!!》


===================以下内容为lqqk7回复==================
1、windows是多用户操作系统，比如你的系统有两个帐户，一个是默认的administrator，另一个是自己新建的ikaka，系统变量就是说无论你用administrator登陆还是用ikaka登陆都会生效的变量；而用户变量则是指你在administrator账户下添加的用户变量，在ikaka帐户下是不生效的，反之亦然。
2、可以让网友试试执行其他.exe文件是否正常，判断是否是.exe文件关联出了问题；另外可以通过日志看看regedit.exe是否被劫持；

老师为什么启动文件在注册表没有键值呢？


===================以下内容为lqqk7回复==================
你指的是开始——程序——启动 文件夹里面的文件吧？windwos在启动时会去自动运行这里面的程序，不需要注册表项的支持，微软就是这样设计的。

老师好
第一、sreng 扫描服务和驱动的时候  是不是 微软的 初始服务没有扫描出来啊    直接跳过了  因为看见扫出来的服务很少
第二、病毒可能不可能改变了 微软的 初始服务来达到启动的目的啊？  比如把原来的文件替换掉等等


===================以下内容为lqqk7回复==================
1、引用SREng用户手册中的话“为了减少报告的体积，智能扫描功能将把发行者是 Microsoft 的项目过滤掉，并不会出现在报告里面。”；
2、可能，并且这种病毒早已出现了，但因为文件被替换或改写后，其本身的版本信息和签名都被破坏，在日志中还是能够体现出异常的，另一方面系统服务被替换后通常也会伴随一些比较明显的系统故障；

老师~如果open=abc.exe中的文件abc.exe被删除了，所在的盘就会出现打不开的现象吗？那我以前一个同学电脑所有盘都只能 右键--打开  才能打开，就有可能是因为杀毒软件杀了病毒而这个文件没有改造成的吗？还有其他可能吗？

谢谢老师啦~~


===================以下内容为lqqk7回复==================
你说的是最常见的情况，还有一种不常见的情况，直接在注册表中篡改了磁盘的打开方式，对应的注册表项在
HKEY_CLASSES_ROOT\Drive\shell
但是不建议直接去操作注册表，先确定autorun.inf已经删除并重启了系统，如果还有问题，最好让求助者将这个注册表项导出后具体分析

U盘中的Autorun.inf就删不掉是什么原因？


===================以下内容为lqqk7回复==================
我能想到的可能性：
1、U盘有写保护开关，并且已经开启；
2、U盘损坏（相对可能性较低）；
3、文件系统错误（用windows自带的磁盘查错功能修复错误后一般能解决）；
4、针对NTFS文件系统，该文件被设置了拒绝改写的权限；
5、插着U盘的这台电脑存在活体病毒，以独占的方式保护这个文件，使其无法被删除；

"电脑所有盘都只能 右键--打开  才能打开"这个也有可能是ROSE.EXE病毒造成的
ROSE.EXE病毒病毒利用系统驱动器双击自读的漏洞，尤其是移动存储用户的电脑更是为之疾首，中了该病毒以后，用右键点击本地磁盘，发现原来应该是“打开”的指令变成了“自动播放”。

呵呵，我自己的理解，可能还有其他原因吧~:kaka16:
刚刚看完，觉得这讲比较容易理解哈
老师辛苦了，谢谢老师~

老师辛苦啦. 我有2个问题想问问..
1.你说如果某个地区的网络服务商的DNS服务器出了问题,那我们可以强制将www.rising.com.cn解析到219.238.233.203,解一时之急.这个219.238.233.203是不是可以随意更换的?

2.有没有这方面的书可以推荐下? 我想借些书深入了解下.:kaka12:

谢谢老师啦.


===================以下内容为lqqk7回复==================
1、38楼正解:default6: ，这个是不可以任意更换的，只能置顶为瑞星官网的IP；
2、貌似没有专门讲解Hosts文件的书吧.....不过可以去搜索一下微软知识库:default6:

219.238.233.203<------貌似就是瑞星的官网服务器的IP地址，不能随意的

:kaka12:
首先谢谢lqqk7老师耐心地准备齐全的资料,看了以后受益匪浅,突然发现自己以前学的那点分析技巧还非常的不全面,谢谢,衷心地谢谢....:kaka15:
然后诚恳地向lqqk7老师请教几个问题:
1.dllcache目录下是不是也可能存在病毒文件,当我们干掉一个病毒后,它又回来了?
2.能不能介绍一个编辑软件,让我看报告文件可以看得舒服一点,看记事本看得头晕死了....:kaka19:


===================以下内容为lqqk7回复==================
1、有可能，并且已经早已出现过这样的病毒，通常是将原系统正常文件改写（或替换）的同时，将DLLCACHE下的备份文件也一并改写或替换，遇到这种极端情况就需要到其他相同的系统去拷贝正常文件了；如果求助者反应所有病毒文件和注册表项都处理掉之后病毒文件还会还原，可以去检查一下文件的MD5来判断；
2、目前可以读取SREng日志的工具只有分析助手和FmtLOG，附件提供下载，另附logEnToCn工具，在英文操作系统中扫描出的日志也是英文的，分析助手无法加载，通过工具可以转换成中文的；但是一定注意：两个工具各有利弊，可以辅助使用，但不可依赖，否则会降低分析能力，另外讲义中提到的分析助手的问题也要注意；

附件: SREngLog分析工具.rar

请教3个问题

1、dll病毒是否只能通过修改注册表插入吗？

2、我这里瑞星的地址怎么是这个？
 附件: 您所在的用户组无法下载或查看附件强制解析和用dns服务器的效果完全一样吗？

3、file is missing 是不是因为删除了病毒没有删除注册表引起的？光删病毒文件不删注册表项会有什么后果？


===================以下内容为lqqk7回复==================
1、不，还有其他方式，调用系统函数插入进程，后面的进阶课程可能会讲到；
2、不知道啥时候IP变了，不过目前解析到219.238.233.203也是可以访问的，可能多台服务器或者是ChinaCache的加速服务；
3、file is missing是指目标文件不存在，一般就是删除了文件而没有删除注册表键值，可能出现开机提示找不到xx文件的错误；

老师，刚在看用户的求助，日志显示好多问题。  这么多我怎么教他删除啊。。请老师指教专业版的求助回答。。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,gmnait.dll,hfjg.dll,xdndn.dll,rgfjj.dll,dscef.dll,xfng.dll,njritc.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,rhs.dll,atehhz.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,hkfgh.dll,drghszd.dll,fngn.dll,xdhdg.dll,zdbfbd.dll,fjyjy.dll,awef.dll,msepbe.dll,>  [N/A]
还有很多。。。

那个帖子在http://bbs.ikaka.com/showtopic-8640082.aspx


===================以下内容为lqqk7回复==================
指导别人手工处理病毒时没有什么捷径可走，要删除的文件就是列出的那些了，自己写成绝对路径的方式，有个方法可以比较快速的完成补全路径的工作，需要借助UltraEdit这个工具：
1、在UltraEdit里新建一个文本，复制要删除的文件进去，然后执行替换命令，在查找什么那里输入英文半角逗号（,），在替换为那里输入^pc:\windows\，这里的英文半角的^p是换行符，然后执行全部替换

 附件: 您所在的用户组无法下载或查看附件

2、全部替换完后出了第一行以外，其他的都已经补全了c:\windows\这个路径，然后我们再手动补全第一行的路径

 附件: 您所在的用户组无法下载或查看附件

3、在UltraEdit里再新建一个文本，将刚才那份已经完全补全路径的内容全部复制过来，执行替换命令，在查找什么那里输入英文半角的c:\windows\，在替换为那里输入英文半角的c:\windows\system32\，然后执行全部替换

 附件: 您所在的用户组无法下载或查看附件

4、完成后所有的路径都变更为c:\windows\system32\了

 附件: 您所在的用户组无法下载或查看附件

5、之后把这两分文本的内容合在一起就是要让求助者删除的文件，如下：
c:\windows\mrjhtjd.dll
c:\windows\qrhhb.dll
c:\windows\xdfntt.dll
c:\windows\hgfhk.dll
c:\windows\hjaiq.dll
c:\windows\kduy.dll
c:\windows\frntrn.dll
c:\windows\dnteh.dll
c:\windows\chmfcmh.dll
c:\windows\jwlah.dll
c:\windows\crugd.dll
c:\windows\lariytrz.dll
c:\windows\thurh.dll
c:\windows\mgmgmm.dll
c:\windows\oqrthc.dll
c:\windows\ydgn.dll
c:\windows\dbfb.dll
c:\windows\fjnbv.dll
c:\windows\wmsat.dll
c:\windows\gmnait.dll
c:\windows\hfjg.dll
c:\windows\xdndn.dll
c:\windows\rgfjj.dll
c:\windows\dscef.dll
c:\windows\xfng.dll
c:\windows\njritc.dll
c:\windows\setrhes.dll
c:\windows\cdxbfxdb.dll
c:\windows\xfgnxfn.dll
c:\windows\gjkhj.dll
c:\windows\fxnfnh.dll
c:\windows\bjrvm.dll
c:\windows\ektvm.dll
c:\windows\fehom.dll
c:\windows\jyjlt.dll
c:\windows\ijatnaw.dll
c:\windows\sehhter.dll
c:\windows\fhjfg.dll
c:\windows\zdbdb.dll
c:\windows\rhs.dll
c:\windows\atehhz.dll
c:\windows\gjjte.dll
c:\windows\xgnfn.dll
c:\windows\xfgnhcgfm.dll
c:\windows\serger.dll
c:\windows\bnxnb.dll
c:\windows\fxgnfx.dll
c:\windows\jzijj.dll
c:\windows\xfgnfx.dll
c:\windows\serghjm.dll
c:\windows\thsddh.dll
c:\windows\xbcvxb.dll
c:\windows\zfdzb.dll
c:\windows\hkfgh.dll
c:\windows\drghszd.dll
c:\windows\fngn.dll
c:\windows\xdhdg.dll
c:\windows\zdbfbd.dll
c:\windows\fjyjy.dll
c:\windows\awef.dll
c:\windows\msepbe.dll
c:\windows\system32\mrjhtjd.dll
c:\windows\system32\qrhhb.dll
c:\windows\system32\xdfntt.dll
c:\windows\system32\hgfhk.dll
c:\windows\system32\hjaiq.dll
c:\windows\system32\kduy.dll
c:\windows\system32\frntrn.dll
c:\windows\system32\dnteh.dll
c:\windows\system32\chmfcmh.dll
c:\windows\system32\jwlah.dll
c:\windows\system32\crugd.dll
c:\windows\system32\lariytrz.dll
c:\windows\system32\thurh.dll
c:\windows\system32\mgmgmm.dll
c:\windows\system32\oqrthc.dll
c:\windows\system32\ydgn.dll
c:\windows\system32\dbfb.dll
c:\windows\system32\fjnbv.dll
c:\windows\system32\wmsat.dll
c:\windows\system32\gmnait.dll
c:\windows\system32\hfjg.dll
c:\windows\system32\xdndn.dll
c:\windows\system32\rgfjj.dll
c:\windows\system32\dscef.dll
c:\windows\system32\xfng.dll
c:\windows\system32\njritc.dll
c:\windows\system32\setrhes.dll
c:\windows\system32\cdxbfxdb.dll
c:\windows\system32\xfgnxfn.dll
c:\windows\system32\gjkhj.dll
c:\windows\system32\fxnfnh.dll
c:\windows\system32\bjrvm.dll
c:\windows\system32\ektvm.dll
c:\windows\system32\fehom.dll
c:\windows\system32\jyjlt.dll
c:\windows\system32\ijatnaw.dll
c:\windows\system32\sehhter.dll
c:\windows\system32\fhjfg.dll
c:\windows\system32\zdbdb.dll
c:\windows\system32\rhs.dll
c:\windows\system32\atehhz.dll
c:\windows\system32\gjjte.dll
c:\windows\system32\xgnfn.dll
c:\windows\system32\xfgnhcgfm.dll
c:\windows\system32\serger.dll
c:\windows\system32\bnxnb.dll
c:\windows\system32\fxgnfx.dll
c:\windows\system32\jzijj.dll
c:\windows\system32\xfgnfx.dll
c:\windows\system32\serghjm.dll
c:\windows\system32\thsddh.dll
c:\windows\system32\xbcvxb.dll
c:\windows\system32\zfdzb.dll
c:\windows\system32\hkfgh.dll
c:\windows\system32\drghszd.dll
c:\windows\system32\fngn.dll
c:\windows\system32\xdhdg.dll
c:\windows\system32\zdbfbd.dll
c:\windows\system32\fjyjy.dll
c:\windows\system32\awef.dll
c:\windows\system32\msepbe.dll

1、U盘有写保护开关，并且已经开启；这点不符合吧？写保护是不是就不能往里面写东西了？但是我的U盘还能放东西啊。
2、U盘损坏（相对可能性较低）；这个也不符合，确实可能性低。
3、文件系统错误（用windows自带的磁盘查错功能修复错误后一般能解决）；这个磁盘查错怎么用啊？
4、针对NTFS文件系统，该文件被设置了拒绝改写的权限。这个可以再改回来吗？
5、插着U盘的这台电脑存在活体病毒，以独占的方式保护这个文件，使其无法被删除； 这个可能性好像大点，可是这个病毒危害大么？一般怎么解决？


===================以下内容为lqqk7回复==================
1、我说的只是我能想到的可能性而已，呵呵；
2、呵呵；
3、右键点击要查错的盘符，选择属性，之后如图操作，如果磁盘中的文件正在被使用，可能会询问你是否在下次重启时执行查错，选是即可

 附件: 您所在的用户组无法下载或查看附件

4、可以，如图，右键单击文件，选择属性，安全选显卡，高级

 附件: 您所在的用户组无法下载或查看附件

去掉如图所示的勾选

 附件: 您所在的用户组无法下载或查看附件

出现提示选择“删除”

 附件: 您所在的用户组无法下载或查看附件

重新添加用户，用户名填写 everyone

 附件: 您所在的用户组无法下载或查看附件

赋予everyone完全控制权，之后一路确定

 附件: 您所在的用户组无法下载或查看附件

5、分析日志揪出病毒，之后干掉它，具体操作要看具体情况了

老师，我的日志里有
<AppInit_DLLs><>  [N/A]，
这个正常吗？


===================以下内容为lqqk7回复==================
正常，系统默认就是这样

我觉得没什么大问题吧？貌似没有病毒……

谢谢lqqk7老师，辛苦了！~
老师能不能推荐几本能够提高分析日志能力的相关的书呀？最好是基础一点的。。。我觉得有点难。。。再次谢谢老师！~


===================以下内容为lqqk7回复==================
没有这样的书，分析日志的能力是基于对系统和常见软件的熟悉，以及经验的积累，多练习，多看高手的分析结果会提高较快的

今天人这么少啊！！！
下课，起立！！
老师辛苦了！！
大家都好好休息！！！


===================以下内容为lqqk7回复==================
:kaka12:

今天下午把讲义就已经看完了。。无奈道晚上8点半的是很停电了。。。刚来。。。真汗。。。。不过还是感谢老师 让我学到了不少好东西啊:kaka9:

作为一个门外汉，我只能说， 我又学到了不少...呵呵

这两天的练习能不能集中解答一下啊～这样大家才能有提高嘛

半夜上课~~

谢谢老师了，这下真正完全懂了

不在时间了 老师还会解答下不？ 有个疑问

就是hosts文件的问题，您的讲义里对
219.238.233.203  www.rising.com.cn  这样是强制将网站解析到前面的IP地址，这样的是安全的，但是有些也是前面是IP地址，后面却是不清楚的网站，比如（自己编的）：
210.221.136.33    www.abc123.com    这样的话 由于我们没办法确定网站是什么样的，也不清楚前面的IP地址是什么，那会不会后面的网址是安全的，但是前面的IP地址却是危险的呢？ 那对于这样的 我们应该如何去判断呢？ 我们不能一律重置啊，玩意是求助者为了加快访问网站设置的呢？  如何考虑周全呢，希望老师解答下，谢谢

学习……:kaka1:

:kaka1: 谢谢老师的教程！

:kaka11: 今天是真的来晚了。

我更晚~~

看一下大家的问题，学习一下儿吧~~