关于双IE及异常桌面图标扫描日志工具的一些使用。 bbs.ikaka.com

快乐未来雨 - 2010-1-1 14:51:00

天月大人，麻烦问一下，用双IE及异常桌面图标扫描日志工具后，怎么分析这个东东上的日志？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

天月来了 - 2010-1-1 15:02:00

这个工具的应用，我们可以举个例子看

比如这贴：
http://bbs.ikaka.com/showtopic-8687256.aspx

他的日志显示，CLSID中包含IE浏览器主程序iexplore.exe的所有项目中，下面项目的值是异常的：
[键]HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4F6E-B11B-41370D5F9A1A}\SHELL\打开主页(&H)\COMMAND
[值]@
[内容]c:\program files\internet explorer\iexplore.exe http://www.dh818.com/?69
[类型]REG_SZ

并且我们看到，涉及桌面图标的注册表项中，有下面这项存在：
[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{112FDC99-4915-4F6E-B11B-41370D5F9A1A}
[值]@
[内容]msxml60
[类型]REG_SZ

那么我们已经可以确定，需要删除那两个路径下的注册表键了，就是删除{112FDC99-4915-4F6E-B11B-41370D5F9A1A}

并根据我们日常的样本测试中总结的SRENG工具扫描不到的注册表开机启动项中，他的系统增加了下面的启动项了：
[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
[值]SHELL
[内容]explorer.exe,c:\windows\system32\360wdtray.exe
[类型]REG_SZ

因此，还需要删除那个项目以及文件，就是删除：
注册表内：
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL

文件：
c:\windows\system32\360wdtray.exe

还有需要问的吗？？？

快乐未来雨 - 2010-1-1 15:06:00

~~基本上是懂了些~~

快乐未来雨 - 2010-1-1 15:09:00

引用:

并根据我们日常的样本测试中总结的SRENG工具扫描不到的注册表开机启动项中，他的系统增加了下面的启动项了：
[键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON
[值]SHELL
[内容]explorer.exe,c:\windows\system32\360wdtray.exe
[类型]REG_SZ

因此，还需要删除那个项目以及文件，就是删除：
注册表内：
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL

文件：
c:\windows\system32\360wdtray.exe

~~这些有点看不懂~~
麻烦再有更直接的理解吗？

天月来了 - 2010-1-1 15:13:00

那个位置的注册表项

你导入下面这个注册表文件

然后去注册表相同路径下一看即知

附件: 特殊测试.rar (2010-1-1 15:13:08, 256 B)
该附件被下载次数 296

快乐未来雨 - 2010-1-1 15:14:00

~~哦，谢谢天月大人指导~~:kaka1:

天月来了 - 2010-1-1 15:23:00

此工具可以在配置文件内经过设置后，增加新的需要扫描的注册表项。

超方便的一个工具

只是它的使用需要一点基础知识了。

木马bbbb - 2010-1-1 15:28:00

请问版主，
每台计算机关于iexplore.exe进程的的CLSID值都是不一样的吧。
还是有规定的。:kaka1:

夲號ヱ被ジ盜 - 2010-1-1 15:34:00

二嫂大姐

是图中这个意思吗？:kaka16:

我给某位远程求救的扫了份

然后用的您置顶贴的一个工具Fix_IE给他弄的

效果不错

可以做个注册表Reg文件给它反过去吗

这样方便点:kaka16:

[键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL
[值]{20D04FE0-3AEA-1069-A2D8-08002B30309D}
[内容]0x00000001
[类型]REG_DWORD

快乐未来雨 - 2010-1-1 15:53:00

~~天月大人，我已学会，谢谢~~:kaka12:

快乐未来雨 - 2010-1-1 15:58:00

~~如果有不太懂的同胞们，可以用以下附件和你中标后，扫描的日志对比，没有的键，相应的删除了，再把桌面多出的图标删除就ok了~~
天月大人，你说这个方法行吗？

附件: QueryReg.log

天月来了 - 2010-1-1 16:13:00

有些项目是固定的，你找两三台系统扫描日志对比一下即知

天月来了 - 2010-1-1 16:15:00

当然是这样的了

我看求助的日志，也是这样对比的而已

哪有什么高深的哟

快乐未来雨 - 2010-1-1 16:21:00

那REG_DWORD类型的,怎么分析?从而知道哪个是异常的？

木马bbbb - 2010-1-1 16:30:00

在请教老大一个问题：
我使用日志安全处理助手，比如在里面加一些要删除的键值项和文件路径。最后是如何生成的一个可执行文件发给网友清理的。
http://bbs.ikaka.com/showtopic-8687256.aspx
比如这个帖子中的老大贴的“清理工具”。我也在虚拟机中折腾一下。:kaka1:

快乐未来雨 - 2010-1-1 16:35:00

~~你把那个"清理工具"下载下，用压缩工具观察下，就知道了~~

天月来了 - 2010-1-1 16:59:00

那是另外一个程序，没公开的。你可以直接拿那主程序用

至于数据文件，是安全日志处理助手做的。

了解了没？？

两个不同的程序，我那贴那清理工具主程序是用来配合安全日志处理助手的数据文件，一次性操作的，完全是为了防止求助的随意乱操作安全日志助手而单独弄的另一个程序而已。

天月来了 - 2010-1-1 17:11:00

你是说那个地儿？？没看明白你说什么:kaka6:

木马bbbb - 2010-1-1 17:15:00

:kaka12: 老大，你这么说就明白了，你那个工具是配合LogAction.dat来工作的。要删除的项都在LogAction.dat里面。谢谢啦。

瑞星卡卡安全论坛