lqqk7 - 2009-7-13 20:48:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!
附件:
您所在的用户组无法下载或查看附件以下为参考处理方案(仅列出需要删除的文件和注册表项等,具体使用什么工具请自行根据实际情况选择) 附件:
您所在的用户组无法下载或查看附件
daemonz - 2009-7-14 10:39:00
删除:
c:\windows\winsw14e.dll
MsUpdateTask.job
f:\program files\kugoo2007\kugoo.exe
c:\documents and settings\administrator\「开始」菜单\程序\启动\启动itudou.lnk
c:\documents and settings\administrator\「开始」菜单\程序\启动\开屏桌面画报.lnk
c:\documents and settings\administrator\「开始」菜单\程序\启动\腾讯qq.lnk
c:\windows\system32\drivers\1567375.sys
c:\windows\system32\drivers\adprot.sys
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[{D7B21266-AA85-44b8-B516-3B1A69827400}] <>
[KuGoo3] <F:\Program Files\KuGoo2007\KuGoo.exe>
启动项目 -- 启动文件夹之如下项删除:
[启动iTudou] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\启动iTudou.lnk>
[开屏桌面画报] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\开屏桌面画报.lnk>
[腾讯QQ] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[1567437 / 1567437] <\??\C:\WINDOWS\system32\Drivers\1567375.sys>
[ADProt / ADProt] <\SystemRoot\system32\drivers\ADProt.sys>
merrk_chuan - 2009-7-15 15:45:00
零度的穷浪漫 - 2009-7-31 13:59:00
开始操作之前,先把网络断开;
———————————————————————————————————————
使用暴力文件删除工具删除以下文件:
———————————————————————————————————————
c:\windows\winsw14e.dll
c:\windows\system32\drivers\1567375.sys
c:\windows\system32\drivers\prtfile.sys
c:\windows\system32\drivers\adprot.sys
c:\windows\system32\drivers\prtrege.sys
———————————————————————————————————————
用映像劫持工具修复
[IFEO[Domino.exe]] <rundll32.exe "C:\WINDOWS\winsw14e.dll",fnOpen 1>
[IFEO[ZSSnp211.exe]] <rundll32.exe "C:\WINDOWS\winsw14e.dll",fnOpen 0>
———————————————————————————————————————
打开SREng,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[1567437 / 1567437] <\??\C:\WINDOWS\system32\Drivers\1567375.sys>
[prtfile / prtfile] <system32\drivers\prtfile.sys>
[ADProt / ADProt] <\SystemRoot\system32\drivers\ADProt.sys>
[prtrege / prtrege] <system32\drivers\prtrege.sys>
———————————————————————————————————————
打开SREng,选择【启动项目】-【计划任务】-【管理】,将以下项删除:
MsUpdateTask.job
———————————————————————————————————————
© 2000 - 2026 Rising Corp. Ltd.