瑞星卡卡安全论坛

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTray><"D:\Rising\Rav\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
    <360Safetray><"D:\360\360safe\safemon\360Tray.exe" /start>  [(Verified)Qizhi Software (beijing) Co. Ltd]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>  [(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /ShowWMP>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><C:\Windows\System32\ie4uinit.exe -UserIconConfig>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    <Browser Customizations><"C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Windows><"%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    <Windows Desktop Update><regsvr32.exe /s /n /i:U shell32.dll>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    <Web Platform Customizations><C:\Windows\System32\ie4uinit.exe -BaseSettings>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install>  [(Verified)Microsoft Corporation]

这是我电脑的日志，一起分析下吧，讲义看了2便了，一直是云里雾里的，不那么明朗

刚看天月发的帖子上说，其数字签名验证处显示为：[]，或[N/A]时，在看报告的时候，要特别小心
我这有好几个，大虾们，小虾们帮忙看看，分享下经验吧













                                                                                                                                -----人非生而知之者，孰能无惑？惑而不从师，其为惑也，终不解矣。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; 360SE)

以下仅代表个人意见：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
正常，其他的也应该没什么问题。
小涛你也别着急，看日志需要一段时间的积累才能看出问题，等到你能看出东西后，你就会觉得它很简单。
静下心，多积累。

没啥问题 哪个不确定:kaka2:

(Verified)是带签名的文件，一般没问题
有两个File is missing，路径也没什么问题
还有3个N/A，没有问题。

有问题吗？我怎么看不出来？

没什么问题！
3个【N/A】正常
两个【File is missing】也是正常的，themeui.dll是系统文件，WinMail.exe是Windows收发邮件的软件

没看出问题来，期待高手指点:kaka1:

三个没有公司名称
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
最后一个百度了下，貌似是有使病毒注入EXPLORER的可能。

两个启动项显示FILE IS MISSING。第一个不知道是啥，第二个应该是WINDOWS自带的MAIL吧。。LZ应该是已经把这俩程序删了所以出现找不到文件这状况吧。。

初学者，大家多交流交流啊～～:kaka1:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<load><>
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTray><"D:\Rising\Rav\RsTray.exe" -system>[(Verified)Beijing Rising Information Technology Corporation Limited]                //瑞星杀毒启动项
    <360Safetray><"D:\360\360safe\safemon\360Tray.exe" /start>[(Verified)Qizhi Software (beijing) Co. Ltd]                  //360安全卫生启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>[(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>[N/A]                        //AppInit_DLLs值为空，正常
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      <WebCheck><>[N/A]                          //WebCheck是windows系统文件，对网站进行监视的COM端口
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
      <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /ShowWMP>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><C:\Windows\System32\ie4uinit.exe -UserIconConfig>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    <Browser Customizations><"C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP>[(Verified)Microsoft Windows]    //iedkcs32.dll是ie个性化文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
      <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>[File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
      <Microsoft Windows><"%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE>[File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    <Windows Desktop Update><regsvr32.exe /s /n /i:U shell32.dll>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    <Web Platform Customizations><C:\Windows\System32\ie4uinit.exe -BaseSettings>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install>[(Verified)Microsoft Corporation]

红色部分就实在看不懂了，希望有高手解答！！！！！

羽裳:kaka15:

这些可以不用管

呵呵，你也喜欢玩仙剑游戏呀！！！我正准备玩古剑奇谭。:kaka1:
路径里边是不是只需要注意exe和dll就好了，其他的是不是不用太注意?:kaka2:

看不出存在病毒的问题，楼主电脑的具体故障是什么呀？

那些应该都是一些程序的启动参数之类的东西。。

有些dll加载是需要通过svchost等等加载的，其中会有一些参数之类的东西，比如dll文件的路径，这时候是需要格外注意dll文件的路径的

to 楼主：要小心的意思是说这些文件没有包含签名、厂商信息等，需要留意一下，并不是说显示[]或[N/A]的一定有问题。不是所有的程序员都很在意厂商版本信息，有些正规软件甚至是商业软件也没有包含这些信息~

to 9楼：红色的那些是程序运行参数，是开发人员预先设置好的程序运行功能，比如我在日志分析1的讲义中更新的关于SREng的运行参数，在不使用参数直接运行SREng时会打开程序界面，而如果使用了/escan参数运行程序将不会出现界面直接进入后台扫描模式。再看日志的时候一般不用看这些参数，只要看前面的程序路径即可！

好的，谢谢lqqk7大版主！:kaka1: :kaka16:

哦，明白了。只是感觉日志分析好难懂，希望能把它搞懂