瑞星卡卡安全论坛

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！

附件: SREngLOG3.log

以下为参考处理方案（摘自原帖）

参考一下~

看看答案

1.建议使用XDelBox删除以下文件：(XDelBox1.3下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\ocskg.dll
c:\windows\system32\npkcrypt.sys
c:\windows\system32\npkycryp.sys

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[thxpl]    <C:\WINDOWS\system32\ocskg.dll>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>

参考参考

c:\docume~1\admini~1\locals~1\temp\rsv190.tmp
系统修复－－ HOSTS文件－－重置

最进不能上网  所以下载回去练习:kaka6:

看看答案，老师辛苦了

谢谢老师分享:kaka12:

答案

答案

学习呀，

看看答案

学习学习。。

看看答案 呵呵

:kaka1:

mp110031.dll估计这个文件有点问题 然后就是驱动里的几个文件~

学习下

第一；host文件要修复
第二：
文件关联 修复一下
第三：计划任务
第四进程：
    [C:\Program Files\Micropoint\mp110031.dll]  [Micropoint Corporation, 1.3.3.345]
[C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2497]

    [C:\Program Files\Micropoint\mp110031.dll]  [Micropoint Corporation, 1.3.3.345]
程序驱动：
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
[winachsf / winachsf][Running/Manual Start]
  <system32\DRIVERS\HSF_CNXT.sys><Conexant Systems, Inc.>
注册表：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]

  <thxpl><C:\WINDOWS\system32\ocskg.dll>  [File is missing]
  <stup.exe><; Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R>  [File is missing]

对对答案啊

额 貌似我的分析 大有问题 是不是太小心了呢 还是没找到点

继续学习

日志分析学习积累ing...