瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月13日 日志分析 练习3
lqqk7 - 2009-7-13 20:45:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


以下为参考处理方案(进列出需要删除的文件和注册表项等,具体使用什么工具请自行根据实际情况选择)

 附件: 您所在的用户组无法下载或查看附件
daemonz - 2009-7-13 21:55:00
我看晕了,那么多dll文件,似乎有问题,但网上搜一下,好像又都是正常的文件
不知道是怎么回事啊
Lighting_Cui - 2009-7-13 22:43:00
C:\WINDOWS\dyloty\spoolsv.vbs

C:\WINDOWS\system32\sdfi\pool.vbs

C:\WINDOWS\system32\56276.63.exe

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\32B236.lnk

C:\WINDOWS\system32\431CAD\32B236.EXE

C:\WINDOWS\Fonts\EE8FFAA4.EXE
merrk_chuan - 2009-7-15 13:31:00
***** 该内容需回复才可浏览 *****
零度的穷浪漫 - 2009-7-31 0:27:00
1.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <360tray><C:\WINDOWS\dyloty\spoolsv.vbs>  []
    <360safe><C:\WINDOWS\system32\sdfi\pool.vbs>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guard.exe]
    <IFEO[guard.exe]><SvchoSt.exe>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmain.exe]
    <IFEO[wmain.exe]><SvchoSt.exe>  [(Verified)Microsoft Windows Component Publisher]被SvchoSt.exe劫持了……
2.启动文件夹
[32B236]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\32B236.lnk --> C:\WINDOWS\system32\431CAD\32B236.EXE [File is missing]><N>
3.服务
[5288F63 / 5288F63][Stopped/Auto Start]
  <C:\WINDOWS\Fonts\EE8FFAA4.EXE -k><(File is missing)>
[Eset HTTP Server / EhttpSrv][Stopped/Manual Start]
  <D:\360杀毒\EHttpSrv.exe><(File is missing)>
[Eset Service / ekrn][Stopped/Auto Start]
  <D:\360杀毒\ekrn.exe><(File is missing)>
[HID Input Service / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
isale_pgsql_service / isale_pgsql_service][Stopped/Auto Start]
  <f:/Program Files/isale_postgres/bin/pg_ctl.exe runservice -N "isale_pgsql_service" -D "f:/Program Files/isale_postgres/data"><(File is missing)>
[Windows Audios / Windows Audios][Stopped/Auto Start]
  <C:\WINDOWS\Cursors\sevev.exe><(File is missing)>
[GJMCBDMEY / YZZYZRGMIG][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k YCDWILDDZ-->C:\Windows\system32\Microsoft\OVIJEOIWYB.DLL><N/A>
4.[davo / davo][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\hfuyt.sys><N/A>
[epfwtdir / epfwtdir][Running/System Start]
  <system32\DRIVERS\epfwtdir.sys><N/A>
[mlinkgc / mlinkgc][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\vxwuk.sys><N/A>
[wakw / wakw][Running/Boot Start]
  <\SystemRoot\system32\drivers\wakw.sys><N/A>
5.[iSee 保存所有图片]
  <D:\iSee\iSeeSavePicAll.htm, N/A>
[iSee保存Flash]
  <D:\iSee\iSeeSaveFlash.htm, N/A>
[iSee保存所有图片]
  <D:\iSee\iSeeSavePicAll.htm, N/A>
[iSee读取Exif]
  <D:\iSee\iSeeReadExif.htm, N/A>
[添加相册用户到iSee收藏]
  <D:\iSee\iSeeAddToAlbum.htm, N/A>
6.[D:\Program Files\Tencent\QQ\FlashAvatarDll.dll]  [, 1, 0, 0, 1]
[C:\WINDOWS\system32\msdmo.dll]  [, ]
[D:\Program Files\Tencent\QQ\MSIMG32.dll]  [N/A, ]
[D:\Program Files\Tencent\QQ\FinePlus.dll]  [N/A, ]
7.特殊特权被允许: SeLoadDriverPrivilege [PID = 668, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2096, D:\CTFMEN.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 3716, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\FEIFEI.EXE]
零度的穷浪漫 - 2009-7-31 0:31:00
老师的答案:
开始操作之前,先把网络断开;
———————————————————————————————————————
使用暴力文件删除工具删除以下文件:
———————————————————————————————————————
d:\ctfmen.exe
c:\documents and settings\administrator\feifei.exe
c:\windows\dyloty\spoolsv.vbs
c:\windows\system32\sdfi\pool.vbs
c:\windows\system32\56276.63.exe
C:\WINDOWS\system32\431CAD\32B236.EXE
c:\documents and settings\administrator\「开始」菜单\程序\启动\32b236.lnk
c:\windows\system32\microsoft\ovijeoiwyb.dll
c:\windows\fonts\ee8ffaa4.exe
c:\windows\cursors\sevev.exe
c:\windows\system32\drivers\wakw.sys
c:\windows\system32\drivers\vxwuk.sys
c:\windows\system32\drivers\hfuyt.sys
———————————————————————————————————————
打开SREng,选择【启动项目】-【注册表】,将以下项删除:
[360tray]    <C:\WINDOWS\dyloty\spoolsv.vbs>
[360safe]    <C:\WINDOWS\system32\sdfi\pool.vbs>
[StormCodec_Helper]    <C:\WINDOWS\system32\56276.63.exe>
[IFEO[guard.exe]]    <SvchoSt.exe>
[IFEO[wmain.exe]]    <SvchoSt.exe>
———————————————————————————————————————
打开SREng,选择【启动项目】-【服务】-【Win32服务应用程序】,将以下项删除:
[GJMCBDMEY / YZZYZRGMIG]    <C:\WINDOWS\system32\svchost.exe -k YCDWILDDZ-->C:\Windows\system32\Microsoft\OVIJEOIWYB.DLL>
[5288F63 / 5288F63]    <C:\WINDOWS\Fonts\EE8FFAA4.EXE -k>
[Windows Audios / Windows Audios]    <C:\WINDOWS\Cursors\sevev.exe>
———————————————————————————————————————
打开SREng,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[wakw / wakw]    <\SystemRoot\system32\drivers\wakw.sys>
[mlinkgc / mlinkgc]    <\SystemRoot\system32\drivers\vxwuk.sys>
[davo / davo]    <\SystemRoot\system32\drivers\hfuyt.sys>
———————————————————————————————————————
为什么呢?前面用工具删除的那些我还是搞不清楚哪些是要用那工具删的
1
查看完整版本: 7月13日 日志分析 练习3
© 2000 - 2026 Rising Corp. Ltd.