瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月16日 日志分析 练习3
lqqk7 - 2009-7-16 17:03:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!

附件: SREngLOG3.log
lqqk7 - 2009-7-16 17:07:00
参考解决方案(摘自原求助帖)
***** 该内容需回复才可浏览 *****
daemonz - 2009-7-17 15:09:00
可疑文件:
c:\windows\system32\e661be\1dc444.exe
c:\users\leonna\appdata\local\temp\e_n4\dp1.fne
c:\users\leonna\appdata\local\temp\e_n4\eapi.fne
c:\users\leonna\appdata\local\temp\e_n4\htmlview.fne
c:\users\leonna\appdata\local\temp\e_n4\internet.fne
c:\users\leonna\appdata\local\temp\e_n4\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\shell.fne
c:\users\leonna\appdata\local\temp\e_n4\spec.fne
c:\windows\system32\2f0777\hx-2f077.exe
c:\windows\system32\2f0777\dp1.fne
c:\windows\system32\2f0777\eapi.fne
c:\windows\system32\2f0777\krnln.fnr

注册表启动项目:
[1DC444]    <C:\Windows\system32\E661BE\1DC444.EXE>
启动文件夹
[1DC444]    <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk>
[1DC444]    <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk>
daemonz - 2009-7-17 15:16:00
那两个 exe 加载的东东没有问题吗?
gtyre2 - 2009-7-18 13:49:00
看不懂
Ass_Frog - 2009-7-18 15:32:00
.fne
是什么类型的文件啊?
想成为狼的兔子 - 2009-7-18 15:32:00
病毒文件
C:\Windows\system32\2F0777\HX-2F077.EXE
C:\Windows\System32\E661BE\1DC444.EXE
C:\Users\leonna\AppData\Local\Temp\E_N4\dp1.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\eAPI.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\HtmlView.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\internet.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\krnln.fnr
C:\Users\leonna\AppData\Local\Temp\E_N4\shell.fne
C:\Users\leonna\AppData\Local\Temp\E_N4\spec.fne
C:\Windows\system32\2F0777\dp1.fne
C:\Windows\system32\2F0777\eAPI.fne
C:\Windows\system32\2F0777\krnln.fnr
我是天边的风 - 2009-7-20 14:24:00
因为没有网  不得不在网吧下载回去慢慢 对答案
学飞的龙 - 2009-7-20 18:15:00
建议使用费尔删除以下文件:(费尔下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入(右键不检查路径导入)后在要删除文件上点击右键,选择立刻重启删除(请勾上“抑制再生”的选项),电脑会重启进入DOS界面进行删除操作。

c:\windows\system32\2f0777\hx-2f077.exe
c:\windows\system32\e661be\1dc444.exe
有个leonna易语言软件,确定是否可靠,否则删除下面几个
c:\windows\system32\2f0777\dp1.fne
c:\windows\system32\2f0777\eapi.fne
c:\windows\system32\2f0777\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\dp1.fne
c:\users\leonna\appdata\local\temp\e_n4\eapi.fne
c:\users\leonna\appdata\local\temp\e_n4\htmlview.fne
c:\users\leonna\appdata\local\temp\e_n4\internet.fne
c:\users\leonna\appdata\local\temp\e_n4\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\shell.fne

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[1DC444]    <C:\Windows\system32\E661BE\1DC444.EXE>
Rainy宝 - 2010-3-18 22:24:00
看答案
Elaine1 - 2011-1-23 11:55:00
看一下答案了
jensh8023 - 2011-1-24 22:47:00
老师辛苦了,:kaka1:
骑行天下 - 2011-3-4 9:14:00
答案
废土游民 - 2011-3-10 19:39:00
答案
deng520 - 2011-7-28 10:00:00
启动文件夹
  牙控制盘]
  <C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\蓝牙控制盘.lnk --> C:\PROGRA~1\Lenovo\BLUETO~1\BTTray.exe [Broadcom Corporation.]><N>
[1DC444]
  <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk --> C:\Windows\System32\E661BE\1DC444.EXE [N/A]><N>
[1DC444]
  <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk --> C:\Windows\System32\E661BE\1DC444.EXE [N/A]><N>
[蓝牙控制盘]
  <C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\蓝牙控制盘.lnk --> C:\PROGRA~1\Lenovo\BLUETO~1\BTTray.exe [Broadcom Corporation.]><N>

<1DC444><C:\Windows\system32\E661BE\1DC444.EXE>  []

  <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk --> C:\Windows\System32\E661BE\1DC444.EXE [N/A]><N>
[1DC444]


    [C:\Users\leonna\AppData\Local\Temp\E_N4\HtmlView.fne]  [N/A, ]
    [C:\Users\leonna\AppData\Local\Temp\E_N4\shell.fne]  [N/A, ]
    [C:\Users\leonna\AppData\Local\Temp\E_N4\dp1.fne]  [N/A, ]
    [C:\Users\leonna\AppData\Local\Temp\E_N4\eAPI.fne]  [N/A, ]
    [C:\Users\leonna\AppData\Local\Temp\E_N4\internet.fne]  [N/A, ]
    [C:\Users\leonna\AppData\Local\Temp\E_N4\spec.fne]  [N/A, ]

[PID: 5440 / leonna][C:\Windows\system32\2F0777\HX-2F077.EXE]  [N/A, ]
[C:\Windows\system32\2F0777\krnln.fnr]  [N/A, ]
  [C:\Windows\system32\2F0777\dp1.fne]  [N/A, ]
    [C:\Windows\system32\2F0777\eAPI.fne]  [N/A, ]

文件关联修复
host文件修复
\
我的神啊  越看日志头越大啊
小镜童 - 2011-7-31 20:44:00
看看答案~~
wang蕾 - 2011-8-8 13:27:00
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\2f0777\hx-2f077.exe
c:\windows\system32\2f0777\dp1.fne
c:\windows\system32\2f0777\eapi.fne
c:\windows\system32\2f0777\krnln.fnr
c:\windows\system32\e661be\1dc444.exe
c:\users\leonna\appdata\local\temp\e_n4\dp1.fne
c:\users\leonna\appdata\local\temp\e_n4\eapi.fne
c:\users\leonna\appdata\local\temp\e_n4\htmlview.fne
c:\users\leonna\appdata\local\temp\e_n4\internet.fne
c:\users\leonna\appdata\local\temp\e_n4\krnln.fnr
c:\users\leonna\appdata\local\temp\e_n4\shell.fne
c:\users\leonna\appdata\local\temp\e_n4\spec.fne
c:\users\leonna\appdata\roaming\microsoft\windows\start menu\programs\startup\1dc444.lnk

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[1DC444]    <C:\Windows\system32\E661BE\1DC444.EXE>

    启动项目 -- 启动文件夹之如下项删除:
[1DC444]    <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk>
[1DC444]    <C:\Users\leonna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1DC444.lnk>
    系统修复-- HOSTS文件--重置
    另外修复文件关联

host文件若后两项是日记扫描者自己添加的,则不做修改,若不是建议将其重置
sabayon - 2011-8-26 16:54:00
练习练习
1
查看完整版本: 7月16日 日志分析 练习3
© 2000 - 2026 Rising Corp. Ltd.