瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月16日 日志分析 练习10
lqqk7 - 2009-7-16 17:06:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!

附件: SREngLOG10.log
lqqk7 - 2009-7-16 17:10:00
参考解决方案(摘自原求助帖)
***** 该内容需回复才可浏览 *****
daemonz - 2009-7-17 16:57:00
用同版本正常文件替换:c:\windows\system32\comres.dll
删除:
c:\windows\system32\wgalogon.dll  (windows 正版验证)
c:\windows\system32\drivers\asyncmac.sys

删除注册表启动项目:
[WinlogonNotify: WgaLogon]    <WgaLogon.dll>
[{25BC5491-68B6-4416-BC69-6E8442312604}]    <C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll>
[{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}]    <C:\WINDOWS\system32\ndxq9awMc.dll>
[{37C5D66A-8B1B-4545-8112-3751194F6A4A}]    <C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>
[{FC8F4603-4AB2-4A0D-B17F-886CC8AAAFD2}]    <C:\WINDOWS\fonts\CESPVP8FQd.fon>
[{71C4F360-FF1E-413E-B17A-0CA267A78E97}]    <C:\WINDOWS\system32\qB5BKZy7vR5m.dll>
[{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}]    <C:\WINDOWS\system32\EN7hzSreCat8.dll>
[{AC933D46-96A7-4670-9292-E7C4126C071E}]    <C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon>
[{76CBCF38-0583-44C7-A1AE-D463DFE625EC}]    <C:\WINDOWS\system32\skcfujQ5EDN.dll>
[{A23CA53C-731F-4033-92E8-C1DFB4E71D34}]    <C:\WINDOWS\system32\JBn2ypqY23vWX.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[{F1C149F4-380C-4F8A-B87E-7393732B27C1}]    <C:\WINDOWS\system32\GsfMwDWD3.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{750DBD56-AF03-47CB-BB28-BBF312B059F9}]    <C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>

服务:
[RAS Asynchronous Media Driver / AsyncMac]    <system32\DRIVERS\asyncmac.sys>
大班老板 - 2009-7-17 20:11:00
楼上够牛。意见一致。
不过那个正版验证  如果是使用正版的话  要不要删除呢??呵呵
daemonz - 2009-7-17 21:47:00
如果是正版,删不删也无所谓吧
gtyre2 - 2009-7-18 14:09:00
看下。。。
我是天边的风 - 2009-7-20 14:31:00
对下答案
想成为狼的兔子 - 2009-7-21 20:26:00
删除文件C:\WINDOWS\system32\COMRes.dll
并清理注册表
Rainy宝 - 2010-3-18 22:30:00
看看答案~~
Elaine1 - 2011-1-23 12:03:00
看看答案,老师辛苦了
jensh8023 - 2011-1-24 22:43:00
老师辛苦了,:kaka1:
骑行天下 - 2011-3-4 17:39:00
答案
废土游民 - 2011-3-10 19:44:00
答案
deng520 - 2011-7-27 18:40:00
C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\fonts\CESPVP8FQd.fon
C:\WINDOWS\system32\qB5BKZy7vR5m.dll
C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon
C:\WINDOWS\system32\skcfujQ5EDN.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\GsfMwDWD3.dll
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon
C:\WINDOWS\system32\xg4hAPNygs29.dll
这些要杀掉
还有在dllcache中找到comres.dll替换
C:\WINDOWS\system32\COMRes.dll

这是我的 一定要给力啊
无极御鳞 - 2011-7-27 21:00:00
c:\windows\system32\comres.dll这个文件好像没有签名
asyncmac.sys删除这个驱动
还有就是删除这个
c:\windows\system32\aeuzzdyn4fvnj.dll
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\fonts\cespvp8fqd.fon
c:\windows\system32\qb5bkzy7vr5m.dll
c:\windows\system32\en7hzsrecat8.dll
c:\windows\fonts\wq7kbanzkme5g4qz.fon
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\jbn2ypqy23vwx.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\gsfmwdwd3.dll
c:\windows\system32\08223b03.dll
c:\windows\fonts\xbpcfxng6wuvf.fon
c:\windows\system32\xg4hapnygs29.dll
再把shell32.dll替换下
------------
看看答案~~:kaka1:
小镜童 - 2011-8-1 8:36:00
继续练习~
wang蕾 - 2011-8-9 15:12:00
建议使用XDelBox删除以下文件
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\aeuzzdyn4fvnj.dll
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\fonts\cespvp8fqd.fon
c:\windows\system32\qb5bkzy7vr5m.dll
c:\windows\system32\en7hzsrecat8.dll
c:\windows\fonts\wq7kbanzkme5g4qz.fon
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\jbn2ypqy23vwx.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\gsfmwdwd3.dll
c:\windows\system32\08223b03.dll
c:\windows\fonts\xbpcfxng6wuvf.fon
c:\windows\system32\xg4hapnygs29.dll
c:\windows\system32\comres.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[{25BC5491-68B6-4416-BC69-6E8442312604}]    <C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll>
[{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}]    <C:\WINDOWS\system32\ndxq9awMc.dll>
[{37C5D66A-8B1B-4545-8112-3751194F6A4A}]    <C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>
[{FC8F4603-4AB2-4A0D-B17F-886CC8AAAFD2}]    <C:\WINDOWS\fonts\CESPVP8FQd.fon>
[{71C4F360-FF1E-413E-B17A-0CA267A78E97}]    <C:\WINDOWS\system32\qB5BKZy7vR5m.dll>
[{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}]    <C:\WINDOWS\system32\EN7hzSreCat8.dll>
[{AC933D46-96A7-4670-9292-E7C4126C071E}]    <C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon>
[{76CBCF38-0583-44C7-A1AE-D463DFE625EC}]    <C:\WINDOWS\system32\skcfujQ5EDN.dll>
[{A23CA53C-731F-4033-92E8-C1DFB4E71D34}]    <C:\WINDOWS\system32\JBn2ypqY23vWX.dll>
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]    <C:\WINDOWS\system32\E4814792.dll>
[{F1C149F4-380C-4F8A-B87E-7393732B27C1}]    <C:\WINDOWS\system32\GsfMwDWD3.dll>
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]    <C:\WINDOWS\system32\08223B03.dll>
[{750DBD56-AF03-47CB-BB28-BBF312B059F9}]    <C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon>
[{AB900155-F1F0-4165-9E73-67BC13BBCE89}]    <C:\WINDOWS\system32\xg4hAPNygs29.dll>
phb6488 - 2011-8-10 16:48:00
学习下
1
查看完整版本: 7月16日 日志分析 练习10
© 2000 - 2026 Rising Corp. Ltd.