瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月9日 日志分析 练习7
lqqk7 - 2009-7-9 9:52:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、C:\Program Files\IGALIVE\IGALIVE.sys和C:\Program Files\Wosou\ie_wosou.dll,没记错的话是流氓软件;
2、通过日志的驱动部分能看到很多老版本瑞星(至少是08版或更老)的驱动项,不知道求助者是刚刚重装了老版本还是以前的没有卸载干净,可以进一步询问;

 附件: 您所在的用户组无法下载或查看附件
精神病院看门的 - 2009-7-9 21:04:00
该用户帖子内容已被屏蔽
基牛 - 2009-7-9 21:35:00
***** 该内容需回复才可浏览 *****
凡尘之沙 - 2009-7-9 23:25:00
***** 该内容需回复才可浏览 *****
Lighting_Cui - 2009-7-10 2:46:00
C:\WINDOWS\system32\drivers\w0zy.sys
C:\WINDOWS\system32\da77whcy.dll


这两个文件很奇怪。。
Lighting_Cui - 2009-7-10 2:47:00
看来我太仁慈。。。。。
merrk_chuan - 2009-7-10 12:48:00
***** 该内容需回复才可浏览 *****
daemonz - 2009-7-10 20:16:00
觉得可疑的地方:
c:\windows\system32\bfd03\svchost.exe

d:\program files\rising\rav\hookcont.dll
d:\program files\rising\rav\rscommx.dll
d:\program files\rising\rav\rsvm.dll
d:\program files\rising\rav\spameng.dll        (这几个没有瑞星的签名,不是很确定)

c:\windows\system32\da77whcy.dll
c:\windows\system32\jrpavu79.dll

d:\program files\alisoft\wangwang\ali_res.dll
d:\program files\alisoft\wangwang\messagenotify.dll
d:\program files\alisoft\wangwang\ww_network.dll
d:\program files\alisoft\wangwang\zlib.dll    (这几个没有阿里旺旺的签名,不是很肯定)

d:\program files\tencent\qq\bqqapplication.dll
d:\program files\tencent\qq\cqqapplication.dll        (这两个没有qq的签名)

驱动非常的不清楚,拿出来这几项问问吧:

c:\windows\system32\drivers\w0zy.sys
c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\prchm19k.sys
c:\windows\system32\drivers\jrpavu79.sys
c:\program files\igalive\igalive.sys
d:\program files\rising\rav\hookreg.sys
d:\program files\rising\rav\expscan.sys
c:\windows\system32\drivers\eaglent.sys


[Yahoo Service / YahooSvr]    <C:\WINDOWS\system32\BFD03\svchost.exe>
[w0zy / w0zy]    <\??\C:\WINDOWS\system32\drivers\w0zy.sys>
[Secdrv / Secdrv]    <system32\DRIVERS\secdrv.sys>
[prchm19 / prchm19k]    <\SystemRoot\System32\DRIVERS\prchm19k.sys>
[jrpavu7 / jrpavu79]    <\SystemRoot\System32\DRIVERS\jrpavu79.sys>
[IGALIVE / IGALIVE]    <\??\C:\Program Files\IGALIVE\IGALIVE.sys>
[HookReg / HookReg]    <\??\D:\PROGRAM FILES\RISING\RAV\HookReg.sys>
[ExpScaner / ExpScaner]    <\??\D:\PROGRAM FILES\RISING\RAV\ExpScan.sys>
[EagleNT / EagleNT]    <\??\C:\WINDOWS\system32\drivers\EagleNT.sys>
se7ensun - 2009-7-11 15:01:00
4个驱动有问题
[jrpavu7 / jrpavu79][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\jrpavu79.sys><N/A>
[prchm19 / prchm19k][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\prchm19k.sys><N/A>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[w0zy / w0zy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\w0zy.sys><N/A>

进程
[PID: 1852 / LJJ][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\da77whcy.dll]  [N/A, ]
    [C:\WINDOWS\system32\jrpavu79.dll]  [, 1, 1, 1, 1054]
凡尘之沙 - 2009-7-15 15:40:00


引用:
服务
[Yahoo Service / YahooSvr][Running/Auto Start]
<>

==================================
驱动程序
[IGALIVE / IGALIVE][Running/Auto Start]
<\??\C:\Program Files\IGALIVE\IGALIVE.sys>
[jrpavu7 / jrpavu79][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jrpavu79.sys>
[prchm19 / prchm19k][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\prchm19k.sys>
[w0zy / w0zy][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\w0zy.sys>

==================================
浏览器加载项
[WazapConfig Class]
{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}

==================================
正在运行的进程
[PID: 1852 / LJJ][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\WINDOWS\system32\da77whcy.dll] [N/A, ]
[C:\WINDOWS\system32\jrpavu79.dll] [, 1, 1, 1, 1054]
[PID: 1340 / SYSTEM][C:\WINDOWS\system32\BFD03\svchost.exe] [, 1.0.0.0]

==================================

答案里给出了了,但是我还是不知道怎么删除答案里的相关内容,也就是如果我的电脑出现上面的情况,我要怎么操作才能把电脑里的病毒、木马清理干净,请老师讲解一下,谢谢了。
零度的穷浪漫 - 2009-7-30 14:24:00
1.这是什么时候的日志啊,怎么还有珊瑚虫QQ出现
2.[Yahoo Service / YahooSvr][Running/Auto Start]
  <C:\WINDOWS\system32\BFD03\svchost.exe><>
3.[PID: 1852 / LJJ][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\da77whcy.dll]  [N/A, ]
[C:\WINDOWS\system32\msdmo.dll]  [, ]
[D:\Program Files\Tencent\QQ\ipsearcher.dll]  [, 1.0.0.5]
[D:\Program Files\Tencent\QQ\QQMainFrame.dll]  [N/A, ]
    [D:\Program Files\Tencent\QQ\CQQApplication.dll]  [N/A, ]
[D:\Program Files\Tencent\QQ\FlashAvatarDll.dll]  [, 1, 4, 0, 1]
[C:\WINDOWS\system32\msdmo.dll]  [, ]
……
[D:\Program Files\Maxthon2\MxExt.dll]  [N/A, ]
[D:\Program Files\Maxthon2\maxzlib.dll]  [, 1.2.3]
    [D:\Program Files\Maxthon2\mxtool.dll]  [, 1, 0, 0, 1]
    [D:\Program Files\Maxthon2\mxfeedU.dll]  [, 1, 0, 45, 89]
D:\Program Files\Thunder Network\Thunder\Program\streammedialib.dll]  [, 1, 2, 0, 78]
    [D:\Program Files\Thunder Network\Thunder\Program\al.dll]  [, 1, 0, 1, 1]
[C:\WINDOWS\system32\msdmo.dll]  [, ]
乐陶猪 - 2009-8-7 23:10:00
[IGALIVE / IGALIVE][Running/Auto Start]
  <\??\C:\Program Files\IGALIVE\IGALIVE.sys><N/A>
[jrpavu7 / jrpavu79][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\jrpavu79.sys><N/A>
[prchm19 / prchm19k][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\prchm19k.sys><N/A>
[w0zy / w0zy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\w0zy.sys><N/A>


[PID: 1852 / LJJ][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\da77whcy.dll]  [N/A, ]
1
查看完整版本: 7月9日 日志分析 练习7
© 2000 - 2026 Rising Corp. Ltd.