瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月16日 日志分析 练习1
lqqk7 - 2009-7-16 16:59:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!

附件: SREngLOG.log
lqqk7 - 2009-7-16 17:01:00
参考解决方案(摘自原求助帖)
***** 该内容需回复才可浏览 *****
幽灵楠 - 2009-7-16 17:54:00
我来对对答案,看看。
scvhost。exe 够滑头的 呵呵。,
smallyou93 - 2009-7-16 18:11:00
原来剑盟的
daemonz - 2009-7-17 14:37:00
修复这两个文件:
d:\windows\system32\comres.dll
d:\windows\system32\userinit.exe
删除这几个可疑文件:
d:\windows\system32\scvhost.exe
d:\windows\system32\drivers\pcidump.sys
d:\windows\system32\drivers\mpfilt.sys
d:\windows\system32\drivers\asyncmac.sys
E:\autorun.inf
E:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe


修复 注册表:
[RsTray]    <D:\WINDOWS\system32\scvhost.exe>
[RsTray]    <D:\WINDOWS\system32\scvhost.exe>
[{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}]    <D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{762D618C-E2CB-4217-8275-03302A93073F}]    <D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>

驱动:
[pcidump / pcidump]    <\??\D:\WINDOWS\system32\drivers\pcidump.sys>
[RAS Asynchronous Media Driver / AsyncMac]    <system32\DRIVERS\asyncmac.sys>
[mpfilt / mpfilt]    <\??\D:\WINDOWS\system32\drivers\mpfilt.sys>

E盘的autorun
gtyre2 - 2009-7-18 13:45:00
对对答案
想成为狼的兔子 - 2009-7-18 14:02:00
可疑文件
system32\DRIVERS\asyncmac.sys
\SystemRoot\system32\DRIVERS\d347bus.sys
\SystemRoot\System32\Drivers\d347prt.sys
\??\D:\WINDOWS\system32\drivers\pcidump.sys\?
?\D:\WINDOWS\system32\drivers\mpfilt.sys
%SystemRoot%\System32\WScript.exe
recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
D:\WINDOWS\system32\COMRes.dllD:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon
D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll
D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll
启动项目 -- 注册表之如下项删除:
[{762D618C-E2CB-4217-8275-03302A93073F}]    <D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}]    <D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>
我是天边的风 - 2009-7-20 14:20:00
对答案
学飞的龙 - 2009-7-20 16:38:00
系统盘在D,用冰刃下载删除
d:\windows\system32\scvhost.exe
d:\windows\system32\userinit.exe  替换
d:\windows\system32\comres.dll  替换
d:\program files\via\viaudioi\envyadeck\envy24api.dll
d:\program files\via\viaudioi\envyadeck\enmixcpl.exe 1
d:\windows\fonts\zefe48cw9emcfar.fon
d:\windows\system32\qh6xx7vn48svpnk.dll
d:\windows\system32\v54m9wwbungtf2m.dll
d:\windows\system32\drivers\d347prt.sys
d:\windows\system32\drivers\d347bus.sys
d:\windows\system32\drivers\pcidump.sys
d:\windows\system32\drivers\mpfilt.sys
e:\autorun.inf
e:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[RsTray]    <D:\WINDOWS\system32\scvhost.exe>
[EnvyHFCPL]    <D:\Program Files\VIA\VIAudioi\EnvyADeck\EnMixCPL.exe 1>
[{762D618C-E2CB-4217-8275-03302A93073F}]    <D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon>
[{B8898C49-7B3A-4306-A9EF-8E186EDEE5EA}]    <D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll>
[{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}]    <D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll>
[Themes Setup]    <%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[d347prt / d347prt]    <\SystemRoot\System32\Drivers\d347prt.sys>
[d347bus / d347bus]    <\SystemRoot\system32\DRIVERS\d347bus.sys>
[pcidump / pcidump]    <\??\D:\WINDOWS\system32\drivers\pcidump.sys>
[mpfilt / mpfilt]    <\??\D:\WINDOWS\system32\drivers\mpfilt.sys>
clnfhd - 2009-7-20 20:50:00
对一下答案:kaka1:
Rainy宝 - 2010-3-18 22:21:00
看答案
Elaine1 - 2011-1-23 11:53:00
老师辛苦了,找一下答案
CalabashMan - 2011-1-23 16:39:00
- -挖一下看答案
虾宝 - 2011-1-23 18:23:00
真的好多
jensh8023 - 2011-1-24 22:29:00
老师辛苦了,谢谢分享。:kaka1:
something_new - 2011-1-25 14:25:00
看答案!
小乖smily - 2011-1-29 10:24:00
答案·····
骑行天下 - 2011-2-5 18:27:00
只为答案
废土游民 - 2011-3-10 19:37:00
对答案
deng520 - 2011-7-29 16:50:00
[E:\]
[AutoRun]
open=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\rav32.exe
D:\Program Files\VIA\VIAudioi\EnvyADeck\EnMixCPL.exe 1 

\SystemRoot\system32\DRIVERS\d347bus.sys
\SystemRoot\System32\Drivers\d347prt.sys
\??\D:\WINDOWS\system32\drivers\mpfilt.sys
D:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon
D:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll
D:\WINDOWS\system32\v54M9wWBuNGTf2m.dll
在dllcache中
把COMRes.dll替换到c\windows\system32\driver中
D:\WINDOWS\System32\COMRes.dll
[D:\WINDOWS\system32\scvhost.exe

今天好多毒啊。。。
小镜童 - 2011-7-31 13:49:00
看下答案~继续积累~
慕紫雨文 - 2011-8-16 16:16:00
分析的不太理想,看看答案吧


看完答案发现有问题的基本都找出来了,不过误判了好多……
sabayon - 2011-8-26 14:47:00
不理想...再做一遍
lzwai - 2011-8-27 21:36:00
看答案
1
查看完整版本: 7月16日 日志分析 练习1
© 2000 - 2026 Rising Corp. Ltd.