瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 请帮忙看一下SREngLOG日志,系统有无异常?

1   1  /  1  页   跳转

[求助] 请帮忙看一下SREngLOG日志,系统有无异常?

请帮忙看一下SREngLOG日志,系统有无异常?

首先描述一下,朋友的电脑,在猪八戒做任务,下载了一个软件,运行了一下,关闭后,发现其在C:\Program Files 安装了,重启机器发现其进程自动运行,杀掉进程后,删除C盘该程序文件,并已在注册表搜索该程序信息删除,随后扫描了一下系统日志,发上来大家帮忙看看,系统还有无异常。该程序附件包含。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件附件:

文件名:SREngLOG.log
下载次数:212
文件类型:application/octet-stream
文件大小:
上传时间:2010-7-15 0:22:22
描述:log

附件附件:

文件名:bymlt1vv.rar
下载次数:192
文件类型:application/octet-stream
文件大小:
上传时间:2010-7-15 0:22:22
描述:rar

分享到:
gototop
 

回复:请帮忙看一下SREngLOG日志,系统有无异常?

c:\windows\system32\rdpssw32.exe
c:\windows\system32\logon.scr
c:\windows\system32\termsrv.dll
c:\windows\system32\pedit.ocx
以上文件打包上传
c:\windows\system32\csrss.exe
c:\windows\system32\winlogon.exe
怎么会有两个同样的进程?检查一下以上两个文件的签名
gototop
 

回复:请帮忙看一下SREngLOG日志,系统有无异常?

您好,怎么会有两个同样的进程?指的是?
我的机器操作系统是深度的GHOST系统盘,并且安装了betwin 拖机软件。
使用数字签名检测 v1.0 工具对“C:\WINDOWS\system32”目录进行了检测,c:\windows\system32\csrss.exe
c:\windows\system32\winlogon.exe
这两个有签名。

需要打包文件在附件rui.rar。
另外请教一下,如何分析SREngLOG 日志?

附件附件:

文件名:rui.rar
下载次数:193
文件类型:application/octet-stream
文件大小:
上传时间:2010-7-15 9:50:15
描述:rar

最后编辑陆上行舟 最后编辑于 2010-07-15 09:50:15
gototop
 

回复:请帮忙看一下SREngLOG日志,系统有无异常?

可疑文件已上报。
上报文件成功!
查询编号:RS20100715194614625613
为查询文件分析结果,请记录此编号。谢谢您的参与!
查询地址:http://mailcenter.rising.com.cn/FileCheck/Default.aspx

学看日志可以参考此贴:http://bbs.ikaka.com/showtopic-8504098.aspx
gototop
 

回复: 请帮忙看一下SREngLOG日志,系统有无异常?



引用:
原帖由 木马bbbb 于 2010-7-15 19:54:00 发表
可疑文件已上报。
上报文件成功!
查询编号:RS20100715194614625613
为查询文件分析结果,请记录此编号。谢谢您的参与!
查询地址:http://mailcenter.rising.com.cn/FileCheck/Default.aspx

学看日志可以参考此贴:[url]http://bbs.ikaka.com/showtopic-85040



谢谢,此4个文件均安全,如下图,其他都没有什么问题吗?
gototop
 

回复:请帮忙看一下SREngLOG日志,系统有无异常?

服务中
[RDPSSW32 / RDPSSW32][Running/Auto Start]
  <C:\WINDOWS\System32\RDPSSW32.EXE><N/A>
这个东东真是没见过,可以再百度一下,反正我机器里没有,保险起见的话,可以禁用这个服务,觉得直接删除也没问题;

[营销宝 / Yingxiaobao][Stopped/Auto Start]
  <><(File is missing)>
这个已经挂掉,直接删除掉

对这个360没什么好印象,还真不如装个AVG free呢
另外建议用windows清理助手(其官网也有绿色版的)全面清理下系统
gototop
 

回复: 请帮忙看一下SREngLOG日志,系统有无异常?



引用:
原帖由 54爱丽舍 于 2010-7-17 9:57:00 发表
服务中
[RDPSSW32 / RDPSSW32][Running/Auto Start]
  <C:\WINDOWS\System32\RDPSSW32.EXE><N/A>
这个东东真是没见过,可以再百度一下,反正我机器里没有,保险起见的话,可以禁用这个服务,觉得直接删除也没问题;

[营销宝 / Yingxiaobao][Stopped/Auto Start]


感谢回复,RDPSSW32 这个服务好像是安装拖机软件后有的,我再看看,yingxiaobao这个服务器已删除。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT