7月21日日志分析练习7 bbs.ikaka.com

lqqk7 - 2009-7-22 10:12:00

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！

附件: SREngLOG7.log

lqqk7 - 2009-7-22 10:13:00

以下为参考处理方案（摘自原帖）

水月虚空 - 2009-7-22 10:47:00

果然要学的还很多啊~

gvista - 2009-7-22 12:24:00

LZ真是太负责任了，十分感谢。

gtyre2 - 2009-7-22 19:35:00

十分感谢。。

学飞的龙 - 2009-7-24 18:16:00

替换comres.dll
c:\windows\fonts\gth33570.ttf
c:\windows\fonts\gth68410.ttf
c:\windows\fonts\gth88410.ttf
c:\windows\system32\sgcq.dll
c:\windows\system32\drivers\awechomd.sys
2.删除重启后使用SREng修复下面各项：
启动项目－－注册表之如下项删除：
[IFEO[cscript.exe]] <ctfmon.exe>
启动项目－－服务－－驱动程序之如下项禁用：
[awecho / awecho] <system32\drivers\awechomd.sys>
系统修复－－　浏览器加载项之如下项删除：
[很快视频搜索] <http://www.henkuai.com/?from=iebannel>

我是天边的风 - 2009-7-26 14:35:00

最进不能上网所以下载回去练习:kaka6:

Elaine1 - 2011-1-23 12:45:00

看看答案，继续练习，老师辛苦了:kaka1:

jensh8023 - 2011-1-24 22:38:00

谢谢老师分享:kaka12:

骑行天下 - 2011-3-4 17:49:00

答案

废土游民 - 2011-3-10 19:55:00

答案

deng520 - 2011-7-26 23:36:00

文件关联。。。启动文件夹。。。
用xdelbox删除

<AppInit_DLLs><C:\WINDOWS\System32\SGCQ.dll> []
<IFEO[cscript.exe]><ctfmon.exe> [(Verified)Microsoft Windows Publisher]

[System Windows Notification / 6to4][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\nt6to4.dll><N/A>

[C:\WINDOWS\System32\SGCQ.dll] [N/A, ]
[C:\WINDOWS\fonts\GTH33570.tTf] [N/A, ]
[C:\WINDOWS\fonts\GTH68410.tTf] [N/A, ]
[C:\WINDOWS\fonts\GTH88410.tTf] [N/A, ]
[C:\WINDOWS\system32\COMRes.dll] [N/A, ]

[C:\WINDOWS\system32\KDAladdin.dll] [N/A, ]

[kl1 / kl1][Running/Boot Start]
<\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>

就这么多不知对不对哦

wang蕾 - 2011-7-31 13:38:00

接着看日记

小镜童 - 2011-7-31 15:36:00

继续学习~

瑞星卡卡安全论坛