瑞星卡卡安全论坛

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！

附件: SREngLOG4.log

参考解决方案（摘自原求助帖）

c:\windows\system32\drivers\wjovh.sys
这东西google上都没有

驱动程序：
[seayp / seayp]    <\SystemRoot\system32\drivers\wjovh.sys>

:kaka3:[BrowserHelper.CBrowserHelper]    <C:\WINDOWS\system32\macker96.dll>
这个浏览器加载项是怎么判断的:kaka2:

看的不是很懂:kaka6:

因为没有网  不得不在网吧下载回去慢慢 对答案  如有冒犯 还请各位谅解

可疑文件，
\SystemRoot\system32\drivers\wjovh.sys
多次误叛的文件
\??\C:\WINDOWS\system32\npkycryp.sys
\??\C:\WINDOWS\system32\npkcrypt.sys
这两个文件名很相似．本以为至少有一个为病毒文件．
但百度结果让人失望．c:\windows\system32\macker96.dll
这个文件不明白．签名为联想的．

最好能上传c:\windows\system32\drivers\wjovh.sys文件至本帖右下角的网站进行病毒检验，判断是否删除

看答案:kaka9:

看看答案

老师辛苦了，:kaka1:

答案

答案

关闭服务：
[seayp / seayp][Running/Boot Start]
  <\SystemRoot\system32\drivers\wjovh.sys><N/A>

[SenFilt Service / SenFiltService][Running/Manual Start]
  <system32\drivers\Senfilt.sys><Sensaura>

[SKNFW / SKNFW][Running/System Start]
  <\??\C:\WINDOWS\system32\Drivers\SKNFW.sys><N/A>

[SkyProcs / SkyProcs][Stopped/Manual Start]
  <\??\C:\Program Files\SkyNet\FireWall\SkyProcs.sys><N/A>

看看答案~上一次练习貌似忽略了开机启动文件夹了，需要注意~

建议使用XDelBox删除以下文件
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\drivers\wjovh.sys
c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[seayp / seayp]    <\SystemRoot\system32\drivers\wjovh.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>


百度了一下npkycryp和npkcrypt，说的是不排除在安装其他软件的时候在该目录下生成类似的文件，给的建议是：先改为禁用（修改启动类型Disabled=>设置），并及时将可疑文件上传到 http://www.virustotal.com/ 或http://virusscan.jotti.org/en 检测。经确认后再删除文件和相应驱动。如果检查正常，恢复正常。

不过[BrowserHelper.CBrowserHelper]    <C:\WINDOWS\system32\macker96.dll>这浏览器加载项是怎么判断出来的呢?