复制链接 | 浏览器收藏 | 打印
级别: DOS 3.X
UID: 47073
精华: 0
发帖: 65
威望: 1 点
星星铁: 16 块
贡献值: 71 点
在线时间: 21(小时)
注册时间: 2007-11-11
最后登录: 2008-12-31
楼主  发表于: 2007-11-11 11:57
只看楼主 |

 教你分析SREng日志

作者声明 %9?Y;<5<  
v$p Vi!B  
本帖已经发布到多个论坛,包括(按发布先后顺序): Uh-#`-y  
==== |373B\U3M  
人民教育出版社论坛【精】:http://bbs.pep.com.cn/viewthread.php?tid=303935&fromuid=422027 2}B.!)!-l  
爱好者论坛(CFAN)【精】:http://bbs.cfan.com.cn/viewthread.php?tid=601475 JI4%o  
Avira中国使用者服务论坛:http://www.avira.org.cn/bbs/viewthread.php?tid=7264 !rP r)x  
电脑报论坛(数动联线)【精】:http://bbs.cpcw.com/viewthread.php?tid=1254228 Kutw8qku/  
==== P7D\={w  
原创作品,欢迎指点!转载请注明出处,谢谢合作 !F5_g+-  
==== pANE2[6x  
前言 R_(TNh8-EX  
yQ}$da,At  
  我接触SREng的时间并不长。第一次接触SREng,是在今年4月。那时我们家才刚刚上网。有一天我上网的时候,发现瑞星弹出了好几条修改注册表的信息,开始没注意,允许了几个,后来才感觉不对劲……然后在任务管理器里面发现了有个mppds.exe。尽管当时我的水平并不是很高,但是直觉告诉我这个进程有问题。所以我就用瑞星的卡卡扫了个日志,发到了卡卡论坛上。在那里,我第一次接触到了SREng这个词…… \p~zSx[mk]  
 9=ztl  
附:帖子地址http://forum.ikaka.com/topic.asp?board=28&artid=8290806 a0ik-#  
我现在再看那个日志,我自己也能发现所有的问题了。 (Q# 3Qe:  
i 5.$HVV=  
  我的问题解决之后,我就对SREng这个软件产生了兴趣:扫个日志就能解决问题!后来,我加入了水树雨下签名里的(现在没有了)反病毒交流群,在那里,我和他们学到了好多东西,经验也一点点地丰富起来了。 \&awnu_m  
  我还看过一个SREng日志的分析教程,对我的帮助也比较大。附上地址: ?=2}ST67  
http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html CX&O:)BV  
<5!U s|  
  下面我就从最基本的开始,教大家怎样看SREng日志。看完这个就会知道:其实分析日志是一件很简单的事!千万不要被这么长的篇幅吓到哦!希望大家有耐心看完!  我的目的就是,让所有看过的人都能够自己分析SREng日志!呵呵~~ arX?@  
o,,@KhO_  
PS:在这里我附上了kuing、竹风铃和我自己的日志。所以篇幅会显得特别长。其实如果把所附日志去掉,篇幅就会很短了……所以一定要有耐心…… apq]yUe  
+TS bh+v  
另:在写《浏览器加载项 分析方法》的时候,得到了ho121的帮助,在此提出感谢~~ 8ld  
'q=?EJ  
 IEDo@!  
  如果发现病毒,先别着急删,请看7楼的清除方法
[ 此贴被李牧原在2007-11-11 12:12重新编辑 ]
以今日之我,胜昨日之我;以明日之我,胜今日之我!
顶端
级别: DOS 3.X
UID: 47073
精华: 0
发帖: 65
威望: 1 点
星星铁: 16 块
贡献值: 71 点
在线时间: 21(小时)
注册时间: 2007-11-11
最后登录: 2008-12-31
1楼  发表于: 2007-11-11 12:04
只看该作者 |

 扫描日志方法:

  首先,请到这里下载最新版的SREng: ;t3?L1qVa  
http://download.kztechs.com/files/sreng2.zip(地址没变,还是以前的地址。不过内容变了哦!如果用迅雷,一定要重新下载一遍!) t] *qQg?  
Fx][F/Xd  
  解压,运行其中的SREngPS.exe如果无法运行或者打开后自动关闭,可以改名为123321.com或者abcdef.scr或defedfsd.pif(文件名自己随便弄,但【后缀名】不要改)最好是以管理员权限帐户运行,这样扫描的效果最好。 <s:=Od  
u~`7{<7r  
  如果为英文界面,单击菜单栏里的Tools——Options,在弹出窗口里的Please select a lauguage下面的下拉三角中选择Simplifed Chinese,点Ok,重启程序就变成中文的了。如图: zgoxnqS  
Jz~F F{  
#>.t/BA  
#Vfz[`b;6  
R~*hyed~n  
  打开SREng后,屏幕右下角有可能出来这个通知,不用管它,直接点“关闭”。因为这很可能是杀毒软件进行的正常修改,再说如果扫描个日志,这项信息也会出现在日志中,千万不要自行修复入口点错误!! a%X/3rz^]~  
F#crAI  
5[dxx&!  
wvZ6e  
  下面要开始扫描了。扫描之前最好能够把QQ、迅雷、IE等一切不必要的程序关掉(如果是特定软件出了问题,扫描的时候要把那个软件打开)。准备好之后,点SREng界面内的“智能扫描”,把上面的那几项全部选中,然后选择下面的“检查进程模块的数字签名”(防止一些病毒用了假的数字签名)。最后点“扫描”。 8Q!wneh3$  
:_WWL#CcB  
;a>QMtqEn  
|^1LQ nti  
新版SREng的扫描速度比较快,据说要比旧版的速度提高三倍以上。下图是新版SREng的扫描界面,是不是一目了然呢? Q_ 7HdvA(  
d! VN:,  
%N0fKpj  
>4Cqk  
扫描结束后,单击“保存报告”,会保存为一个文件名为SREngLOG.log的日志文件。用记事本打开,按CTRL+A、CTRL+C全选复制,然后可以把这个日志粘贴(CTRL+V)到论坛上面。 ;LcEiOjk  
s_yTXo~  
M/C^R(  
/va{1E}pt  
  我要教大家的并不是怎么把日志传到论坛上面让别人帮忙看,而是自己去分析!看着那一大堆密密麻麻的英文字母和符号,是不是心里一点底也没有?呵呵,不要紧,刚开始都会这样的,等熟悉了就好了。下面我就一段一段地把SREng日志的分析方法教给大家!
[ 此贴被李牧原在2008-04-01 22:38重新编辑 ]
以今日之我,胜昨日之我;以明日之我,胜今日之我!
顶端
级别: DOS 3.X
UID: 47073
精华: 0
发帖: 65
威望: 1 点
星星铁: 16 块
贡献值: 71 点
在线时间: 21(小时)
注册时间: 2007-11-11
最后登录: 2008-12-31
2楼  发表于: 2007-11-11 12:06
只看该作者 |

 启动项目:注册表、启动文件夹 分析方法:

  我们首先来看日志的开头部分(以kuing的日志为例,本人应该不会介意吧……): ]-}#%b"/Lr  
*n<'*fH  
引用
[CODE] szcuip2=w  
2007-07-07,22:56:31 V8Jb 5  
System Repair Engineer 2.5.16.900 k`+\ t  
Smallfrogs (http://www.KZTechs.com) <XVVjYI7+  
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能 {~IN]f)k  
以下内容被选中: B>U L  
    所有的启动项目(包括注册表、启动文件夹、服务等) bIu#B?6A&4  
    浏览器加载项 M|yOg5  
    正在运行的进程(包括进程模块信息) hV?VUC&  
    文件关联 PS?@ d>a  
    Winsock 提供者 E7;~:2A?  
    Autorun.inf }5L#uT-o  
    HOSTS 文件 oO6a0J`Y  
    进程特权扫描  @h02/l*  
(#*r^78  
  这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。 Mk.z{=GI  
   k$#_'$>U  
  现在我们来看这部分: lp8zRc  
NB&"X}4<  
引用
启动项目 LZ jzE^*>.  
注册表 #*2a.G  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 'Y%*MG>C  
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]  ;/A,{S,"  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] L%et2  
    <load> <>  [N/A] sR0p {C|  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] T% 8mYs '  
    <igfxtray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Microsoft Windows Publisher] a0RH(kwWf  
  <igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher] 9fV4,`  
    <igfxpers><C:\WINDOWS\system32\igfxpers.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher] ;0 [C5   
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.] }>DetD t  
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.] tqFi/O0F  
  <runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup>  [Beijing Rising Technology Co., Ltd.] H|[W!X~  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] f}`sdzS  
    <KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.] B*1Q<Cx5B  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] *)([ MIx,  
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher] s k9X  
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher] ]7G%O!Fl]  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] sl%r=9T  
    <AppInit_DLLs><>  [N/A] F[a,LB  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] EU'dkM1L  
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher] vGL L$  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 0'Y?ET6h  
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.] =Kdo=.! e  
    <{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll>  [Beijing Rising Technology Co., Ltd.] U`O(&6l+}  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] _e|C5'B  
    <WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll>  [(Verified)Microsoft Windows Component Publisher] ld5wj K}  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] 35iw0Jxd!  
    <WinlogonNotify: igfxcui><igfxdev.dll>  [(Verified)Microsoft Windows Hardware Compatibility Publisher] Bb7D{{yb  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] AoZ^/= c  
    <WinlogonNotify: WgaLogon><WgaLogon.dll>  [(Verified)Microsoft Corporation] 5D5P  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] %D&wl_3W  
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A] F|e6hH==  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] 70T /XY  
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A] ]K~wIDxf^  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *e`TBczB^  
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A] f^vWGpWm  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] udBQ+v   
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A] |!MyL.!?v  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] Wym<B[A  
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher] zg/)5 j)qK  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] VpgADX/q  
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher] 8K}&  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] H$9>\5Sg6  
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher] -'|+:  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] KeM 9j#'  
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A] Czy`\:Dx  
/eTtPTN  
================================== %(9mI#  
启动文件夹 O3 [z(  
N/A B |Khkz  
pUh5<V.  
r&O~&so  
  这段日志里可以看出,你电脑开机的时候都会运行哪些程序。 `lIbYOiwa  
  粉色字样的是是注册表项。也就是这个程序在注册表中的位置。如果是病毒,可以通过开始——运行输入regedit,查找该键值来取消病毒的自动启动。 :%Re_U  
  注册表项下一行,“< >”里面的,前面的是这个注册表项的,后面的是这个键的键值。再后面,是程序的公司版本信息。如果通过了数字签名验证,在Microsoft的前面会有(Verified) 的字样。 I-|'w54  
  PS:颜色是我自己加上的。颜色只弄了一部分,其他的类推,不用我全弄上了吧…… PNlU0;K5  
,S5!  
^<G3lDT  
  分析方法:对于新手来说,最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块,(*.exe、*.dll),可以上www.google.cn去搜索一下,时间长了,积累些经验,下次再看到这些进程的时候,心里就有点底啦!注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件(如ATi催化剂、音效管理员)等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程,后面的公司信息是[N/A],这个很有可能就是病毒!! DvaI?'K]{  
vZ B7ZE  
%systemroot%是系统安装目录,如果是Win98或者XP之类的,对应目录一般为C:\WINDOWS\;如果为WinNT或者2000,对应目录一般为C:\WINNT Nd:Q&8-  
============================================================   "T$>w3(H  
一般的启动程序都是在下面这些项里面了,要好好分析哦~~对于不确定的进程,到www.google.cn里面查。 zw7's|  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] |2\wjaxy  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ge80_;4   
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] \j/?I(A*  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] HC`H1z'6  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] ,C#Y&`xn  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] i _!-Km  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] `)B ?c0"  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] VBy2o3  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] USYs  
============================================================ n0NIod1  
下面这四项要注意,如果日志里面的和这四个不一样,那么很可能就有问题 )n E!Lh5s  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] =5F&P-]N#  
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher] :H 8`k  
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher](注意那个逗号!这个逗号不可省略) pRbAC  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] KQ90`~  
          <AppInit_DLLs><>        [N/A] `QI<YKje  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] |907B  
          <UIHost><logonui.exe>        [Microsoft Corporation] j2)?e$9:o  
============================================================ qEVi_  
如果有下面的这两项,“<>”里面有进程,很可能有问题 b+2[[f's  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] o9<,7hy  
          <load><>        [N/A] OAaM`=V6r  
          <run><>        [N/A] MyuAkaH`P  
============================================================ ]m`'Gc(E<  
下面这两项下面如果有键,也可能有问题 Nu18W@  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] ZY*PQEQ *  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] l,}(Ab7hB  
============================================================ E3v=tyg  
下面的三项如果有除了杀毒软件之外的键,很可能有问题 o`_,MND1_{  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] _\ (tbGb1k  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] sdN36+T=;  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] PAv|O{Xr  
============================================================ Y=;'!=  
可信项目(即有N/A,但可以确定没问题的项目): whr{8:  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] b; s!b\8m  
    <load> <>  [N/A] %fi`CK3 T  
    <run> <>  [N/A] vDo82 d  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] xB/[r5oT  
    <AppInit_DLLs><>  [N/A] 9c? h:_,2!  
 YT"k v  
如果“<>”里面没有东西,以上几项可以排除 _-dQ|YZ;  
gz~gCQ  
%systemroot%\system32\shmgrate.exe uowHrUD3  
这个进程,虽然有些网站上说是病毒,但是貌似只有新版的SREng才能扫出来这个,本人目前可以确定这个进程没问题 dP (d_3?  
%ProgramFiles%\Outlook Express\setup50.exe ty,'A=8@~  
这个进程也可以确定没问题 nC(5Ny"s %  
要注意路径!! /uV<qAYF  
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [N/A] I@a)%"B+  
这一项也可以排除 Tumn2*5f  
============================================================ p49*nhT)  
还有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,如果通过数字签名,在公司名称的前面会有个(Verified) wvdC4L0*>  
 ^<H<Og  
启动文件夹,就是你点“开始”——“程序”——“启动”那里面的文件,一般不会有什么问题(因为大部分病毒没那么弱智……放在这里,一般的菜鸟都能看出来……),但也不能掉以轻心!! ")+X>   
xn%MR5  
举几个病毒的例子: BSX,M)b   
g#+N K+  
<MsServer><msfir80.exe>  [N/A] 4xGS6mJ  
很明显的,有 [N/A],一下就注意到这个了。 VT=rg  
G1+B(,J;Y  
<x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl132.exe> [N/A] Q._+TUxn ^  
这个有点难度,注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1,正常的应该是两个字母l(rundll32.exe)。 ,Ap|KDGD  
b1<;-M$w  
<4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> [] G@go5'^O  
这个和上面的那个是一个类型的,这个程序的名称一般人都能看出来有问题……还没有公司信息,键名也很奇怪。 }ttLVv  
bRAZ`|)6g  
上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的 w$_g9+.  
{Ohcaf/  
这两个有点特殊: [r"sp0=O  
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> [] w )ya(B>Y  
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A] /X"v|e$V  
d|0:D&  
这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,所以是病毒,删掉。 FW.'uQTh  
W!0frMspO  
还有个特殊的:SYSEXPLR.EXE这个程序,如果在超级解霸的目录下(比如HeroV8),那么就可以排除……如果在别的地方,可能就是冰河木马 FNfkWuk!K  
g]>r"  
这一项就介绍到这里啦~~
以今日之我,胜昨日之我;以明日之我,胜今日之我!
顶端
级别: DOS 3.X
UID: 47073
精华: 0
发帖: 65
威望: 1 点
星星铁: 16 块
贡献值: 71 点
在线时间: 21(小时)
注册时间: 2007-11-11
最后登录: 2008-12-31
3楼  发表于: 2007-11-11 12:07
只看该作者 |

 服务、驱动程序 分析方法:

这里的服务和驱动,显示的是非Windows自带的第三方服务驱动。 yQ'$03,B  
粉红色的是服务或驱动的名称,红色的是状态,蓝色的是启动方式,橙色的为文件的路径紫色的为公司名称信息 ^zw0~_477  
H%AE`X  
[Human Interface Device Access / HidServ][Stopped/Disabled]  7+u)  
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> z.{p/qV  
这个服务,如果在进程里面没有特殊项的时候,是可信的,不用管它。 `RNjI6X`  
如果发现有其他的公司名称为N/A的或者假冒微软的服务和驱动,还有的服务驱动名称很奇怪,这样用Google和百度都搜索一下,搜索不到就有问题了。 +Zuwasq  
再引用下kuing的日志…… rcu9_qqb  
引用
wz5F1k5  
服务 .G1.,::$  
[Human Interface Device Access / HidServ][Stopped/Disabled] bO^ZN`,J  
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> n3\OVHNd4  
[Rising Proxy  Service / RfwProxySrv][Stopped/Manual Start] &e}~z.4  
  <c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.> !AN^5MA  
[Rising Personal Firewall Service / RfwService][Running/Auto Start] JveR1o`e   
  <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.> >e%M^K  
[Rising Process Communication Center / RsCCenter][Running/Auto Start]  v^\d"<  
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.> WDo730   
[Rising RealTime Monitor / RsRavMon][Running/Auto Start] +e# l0+:v  
  <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> %1eE,,  
================================== wJ]M3TVs  
驱动程序 !Q]!O_-`  
[2310_00 / 2310_00][Stopped/Boot Start] tg+WMHu.  
  <\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.> z84d9iw  
[3WAREDRV / 3WAREDRV][Stopped/Boot Start] PN^h`%w  
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A> hKMac_d;  
[A320RAID / A320RAID][Stopped/Boot Start] jF&PU6MQ:  
  <\SystemRoot\System32\BIRD\a320raid.sys><Adaptec, Inc.> {acd8BKXy  
[AAC / AAC][Stopped/Boot Start] cfO7L_nzr  
  <\SystemRoot\System32\BIRD\aac.sys><Adaptec, Inc.> C >$H  
[AACSAS / AACSAS][Stopped/Boot Start] SM|S s^c  
  <\SystemRoot\System32\BIRD\aacsas.sys><Adaptec, Inc.> (Njn@DB'  
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start] Z.WU_'=b  
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.> m$T7B+b_  
[AmdK8 Compatible Device / AmdK8][Stopped/System Start] $solB|{i%  
  <System32\BIRD\amdk8.sys><Advanced Micro Devices> !be\ya  
[ARCM_X86 / ARCM_X86][Stopped/Boot Start] iNg{r?n/Y  
  <\SystemRoot\System32\BIRD\arcm_x86.sys><ARECA  Technology Corporation> ,dCD8C;*E9  
[Rising TDI Base Driver / BaseTDI][Running/Auto Start] gu!.em#  
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.> cTbE/  
[BCHTSW32 / BCHTSW32][Stopped/Boot Start] ?6G)/S  
  <\SystemRoot\System32\BIRD\bchtsw32.sys><Broadcom Corporation> z#1m1>zB  
[dpti2o / dpti2o][Running/Boot Start] :a> _a['^$  
  <\SystemRoot\System32\BIRD\dpti2o.sys><Microsoft Corporation> 4 Z;p&U  
[ExpScaner / ExpScaner][Running/Auto Start] TKV9j 3  
  <\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><> 6@PQz.N  
[FASTSX / FASTSX][Running/Boot Start] T95.8p 7  
  <\SystemRoot\System32\BIRD\fastsx.sys><Promise Technology, Inc.> FMPPK"J  
[FASTTRAK / FASTTRAK][Running/Boot Start] @n~(Ijou  
  <\??\C:\WINDOWS\system32\drivers\hjg47ql8p.sys><N/A> x2T3VGiE  
[HookCont / HookCont][Running/Auto Start] F?YUGPaN  
  <\??\C:\PROGRAM FILES\RISING\RAV\HOOKCONT.sys><Rising> {|] ,JlZgg  
[HookReg / HookReg][Running/Auto Start] 9)~@EG  
  <\??\C:\PROGRAM FILES\RISING\RAV\HookReg.sys><> IKnb-2`m_  
[HookSys / HookSys][Running/Auto Start]  ua2t`[n  
  <\??\C:\PROGRAM FILES\RISING\RAV\HookSys.sys><Rising> =gEs%>Cy  
[HookUrl / HookUrl][Running/Auto Start] cv@`~vhL  
  <\??\C:\Program Files\Rising\Rfw\HookUrl.sys><Beijing Rising Technology Co., Ltd.> JI9z7rN  
[HPT3XX / HPT3XX][Stopped/Boot Start] /GF,-(  
  <\SystemRoot\System32\BIRD\hpt3xx.sys><HighPoint Technologies, Inc.>  $B1  
[ialm / ialm][Running/Manual Start] #) &}-H  
  <system32\DRIVERS\ialmnt5.sys><Intel Corporation> 'Ul*wd  
[IASTOR / IASTOR][Running/Boot Start] J'!T4Jy  
  <\SystemRoot\System32\BIRD\iaStor.sys><Intel Corporation> }o$7:{?  
  <\SystemRoot\System32\BIRD\m5289.sys><ULi Electronics Inc.> ~Z)RK0g4t2  
[MEGAIDE / MEGAIDE][Running/Boot Start] Hh!n`*  
  <\SystemRoot\System32\BIRD\MegaIDE.sys><LSI Logic Corporation.> apWc\)mc  
[MEMSCAN / MEMSCAN][Running/Auto Start] QdCTO   
  <\??\C:\PROGRAM FILES\RISING\RAV\MEMSCAN.sys><瑞星软件有限公司> K`L/2u.2  
[mProcRs / mProcRs][Running/Auto Start] l/&Z_}o  
  <\??\c:\program files\rising\rfw\mProcRs.sys><Beijing Rising Technology Co., Ltd.> l;bRJ6  
[mraid35x / mraid35x][Running/Boot Start] %fF- .%  
  <\SystemRoot\System32\BIRD\mraid35x.sys><LSI Logic Corporation> pZ1lIva  
[NFRD960 / NFRD960][Stopped/Boot Start] j$;76xf}  
  <\SystemRoot\System32\BIRD\nfrd960.sys><IBM Corporation> G,>(<]9(  
[Netgroup Packet Filter / NPF][Stopped/Manual Start] \q17ScZf\  
  <system32\drivers\npf.sys><Politecnico di Torino> vwMq p ._  
[npkcrypt / npkcrypt][Running/Auto Start] t[>;=  
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.> 4da'7M~cc  
[nv / nv][Stopped/Manual Start] HNvEq  
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation> 4Ql p<  
[NVATABUS / NVATABUS][Running/Boot Start] w`1hZ%,  
  <\SystemRoot\System32\BIRD\NVATABUS.SYS><NVIDIA Corporation> Eg?3x_{  
[PNP680R / PNP680R][Stopped/Boot Start] 10XjG  
  <\SystemRoot\System32\BIRD\pnp680r.sys><Silicon Image, Inc> 9kGYH  
[Direct Parallel Link Driver / Ptilink][Running/Manual Start] BJ{!6vMt  
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.> 57mah"dH"  
[ql1080 / ql1080][Running/Boot Start] w}ETRY(Vll  
  <\SystemRoot\System32\BIRD\ql1080.sys><QLogic Corporation> NT*jw|R  
[ql12160 / ql12160][Running/Boot Start] )8Fo1E%B@+  
  <\SystemRoot\System32\BIRD\ql12160.sys><QLogic Corporation> ^x6VtU}b  
[ql1280 / ql1280][Running/Boot Start] d23)NU;@^  
  <\SystemRoot\System32\BIRD\ql1280.sys><QLogic Corporation> I\;h,>egH  
[RAIDSRC / RAIDSRC][Stopped/Boot Start] >`>%A M=  
  <\SystemRoot\System32\BIRD\raidsrc.sys><Intel/ICP> ,~Th?W,Q  
[RR232X / RR232X][Stopped/Boot Start] mIYiHMM1  
  <\SystemRoot\System32\BIRD\rr232x.sys><HighPoint Technologies, Inc.> iN6WIs'  
[RsAntiSpyware / RsAntiSpyware][Running/Boot Start] Ly , m{Lc  
  <\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising Technology Co., Ltd.> =th-~<j  
[RsFwDrv / RsFwDrv][Running/Auto Start] K5K ` b.  
  <\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.> DfQWalh #  
[RsNTGDI / RsNTGDI][Running/Boot Start] H*J \l:%  
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.> Z.l|U$2  
[RSPPSYS / RSPPSYS][Running/Auto Start] f-HL|G_  
  <\??\C:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><Rising> m{veL  
[Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver / RTL8023xp][Running/Manual Start] e"%)ITVd  
  <system32\DRIVERS\Rtlnicxp.sys><Realtek Semiconductor Corporation> FoSCsn5  
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start] ?6CG \Hs  
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation> 5(e$MF({  
[S150SX8 / S150SX8][Running/Boot Start] cNd\V8  
  <\SystemRoot\System32\BIRD\S150sx8.sys><Promise Technology, Inc.> GgW95X.  
[Secdrv / Secdrv][Stopped/Manual Start] 1x=(R[}V  
  <system32\DRIVERS\secdrv.sys><N/A> aRdMIj#  
[SI3112 / SI3112][Stopped/Boot Start] 87(3aSb0P  
  <\SystemRoot\System32\BIRD\SI3112.sys><Silicon Image, Inc.> ,qI}\9W8P!  
[sym_u3 / sym_u3][Running/Boot Start] /qUhcT  
  <\SystemRoot\System32\BIRD\sym_u3.sys><LSI Logic> +Io3`hI  
[TwoTrack Compatible Device / TwoTrack][Stopped/Manual Start] u>.|if  
  <System32\DRIVERS\TwoTrack.sys><IBM Corporation> ~"o gE  
==================================
 ~mSSOq  
PS1Ah+xe3  
我把BIRD的驱动省略掉了好多,否则篇幅会是现在的n倍…… }60&Xlz  
如果驱动程序的路径是\SystemRoot\System32\BIRD\,完全可以无视掉…… ylXKxi')  
}Y6vF#BR/  
[Secdrv / Secdrv][Stopped/Manual Start] D/w[W"p51  
  <system32\DRIVERS\secdrv.sys><N/A> 3h(%]v  
H?2PQ"T  
[klif / klif][Running/System Start] &e":~&  
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab> m9bEs {{5o  
这两个驱动程序都是可信的,虽然第二个有时候可能显示为有<N/A>,但大家也不用去管它,注意路径就可以了。 ]*.l PS!|  
有时候会出现双驱动的情况,要格外注意!双驱动就是在一个路径下,同时出现两个文件名,文件名之间用空格隔开。这样的一定要看准啦!!
以今日之我,胜昨日之我;以明日之我,胜今日之我!
顶端
级别: DOS 3.X
UID: 47073
精华: 0
发帖: 65
威望: 1 点
星星铁: 16 块
贡献值: 71 点
在线时间: 21(小时)
注册时间: 2007-11-11
最后登录: 2008-12-31
4楼  发表于: 2007-11-11 12:09
只看该作者 |

 浏览器加载项 分析方法:

Hijackthis的作用在这里就显示出来啦!对应hijackhtis的02、03、08、09、016项,可以用 Hijackthis辅助分析,注意假冒假冒microsoft和macromedia的项 ~+2^+y  
$]HqJ}  
Hijackthis的使用及分析方法可以看人教论坛Full-Moon版主的置顶帖。 @Wh8m>_  
_s>]_wD  
不过要讲的是SREng日志的分析方法,这一项也不能略过…… |qPgQA]sb  
*p+0{<l/  
这次引用下竹风铃的日志…… ,+ 8'- XT  
;".Z^n[/  
引用
7lM28z}  
浏览器加载项 ]-b%jYlg%  
[Thunder Browser Helper] kx@g L|  
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> +PzHqNw  
[AcroIEHlprObj Class] x0m{^&o2>  
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated> lt9mVx$?  
[启动迅雷5] ]< fEiC>  
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <D:\迅雷\Thunder.exe, Thunder Networking Technologies,LTD> nr 6W3J94  
[豪杰超级解霸V8] ZGl<zsE  
  {367E0A21-8601-4986-9C9A-153BF5ACA118} <D:\豪杰超级解霸V8\STHSDVD.EXE, N/A> >cqjqS  
[信息检索(&R)] V' F4^,  
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation> 7{ Wu<L  
[Windows Genuine Advantage Validation Tool] ?DsUujkF  
  {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation> \n!hIxK"~  
[Tencent Safety Online Base Module] Xi6\~8/  
  {C09B522F-8AED-4E21-A65C-DC1AB652BAEE} <C:\WINDOWS\DOWNLO~1\TSOBase.ocx, Tencent Corporation> GM{_"5_2  
[ScienceWord Control 5.0] IS8D2<p  
  {C29E7AB7-8C79-421A-AB75-0AE00E848C2D} <C:\WINDOWS\system32\SCIENC~1.OCX, Novoasoft Corporation> b2$_S[+  
[Shockwave Flash Object] Z2GX@u,  
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.> JK^wZ=DT  
[CPasswordEditCtrl Object] ]e(@SsaS?d  
  {E787FD25-8D7C-4693-AE67-9406BC6E22DF} <C:\WINDOWS\system32\qqedit\qqedit.dll, 腾讯科技(深圳)有限公司> <b+;lv&Z=  
[Thunder Browser Helper] ;Vw\/e  
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> 4,K.kG+   
[AcroIEHlprObj Class] <xO0i `O3  
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated> 7N>)lzJn  
[HTML Document] ]-.$79J  
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A> Y)'CAx  
[Windows Media Player] YV cYUuh  
  {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> 4_I Wdk^   
[Thunder Browser Helper] m=!cA6H  
  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> 1 z@}3R  
[SearchAssistantOC] R;(5:16N  
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A> 3e;9WXV$  
[AUDIO__MP3 Moniker Class] C>xHhy"d  
  {CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> & V} h/v  
[VIDEO__X_MS_ASF Moniker Class] 4*# q&  
  {CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> GcD /"h  
[Shockwave Flash Object] m a]A&  
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.> }3;`_|  
[&使用迅雷下载] r_H$ lH  
  <D:\迅雷\Program\geturl.htm, N/A> >A(<_'u  
[&使用迅雷下载全部链接] y42%`SBo  
  <D:\迅雷\Program\getallurl.htm, N/A> _SB`\g%  
[上传到QQ网络硬盘] D6Ghp3_  
  <E:\Q\AddToNetDisk.htm, N/A> vx)H-JS0.0  
[导出到 Microsoft Office Excel(&X)] TXHvk3z[  
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A> M<1>Q5%1  
[添加到QQ自定义面板] 0b8Y#Gx@  
  <E:\Q\AddPanel.htm, N/A> Q[|djvq  
[添加到QQ表情] 6WVniv`fA  
  <E:\Q\AddEmotion.htm, N/A> ` yH Y v7  
[用QQ彩信发送该图片] z"be" BML  
  <E:\Q\SendMMS.htm, N/A> ;}D o0  
[豪杰超级解霸V8实时播放] )gNx}Izi  
  <D:\豪杰超级解霸V8\MPURLGET.HTM, N/A> :bZ ?%Ol  
.^.&fU`  
==================================
7%aq:@ Q  
粉色的是浏览器加载项名(也就是常说的BHO),蓝色部分是CLSID(有的BHO没有CLSID),一般每一种BHO都有唯一的CLSID,否则可能会有冲突,不用去分析。橙色部分是文件路径,紫色部分为公司名称 5P6z_#ZU  
Swryb8$n  
分析的时候还是要注意公司名称,对公司名为N/A的,Google搜索一下。 "NK%P9.iY  
下列几个为排除项目: 'iW" l h  
[HTML Document] XS# rW  
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A> S5plO  
[SearchAssistantOC] BIXbIT8s  
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A> Y D:;  
还有最下面那几项QQ和迅雷的,如果文件路径没有问题,也可以排除。 eT4|_ Je  
u[(.4*0  
感谢ho121在我写这一项时对我的帮助!^_^
以今日之我,胜昨日之我;以明日之我,胜今日之我!
顶端
级别: DOS 3.X
UID: 47073
精华: 0
发帖: 65
威望: 1 点
星星铁: 16 块
贡献值: 71 点
在线时间: 21(小时)
注册时间: 2007-11-11
最后登录: 2008-12-31
5楼  发表于: 2007-11-11 12:11
只看该作者 |

 正在运行的进程 分析方法:

这一项可以说是整个日志的主体部分,一般来说也是最长的一部分!(有时驱动可能会更长)虽然分析这一项时需要注意的事项并不多,但是一定要细心,还要有耐心!不要错过任何一个可能是病毒的项目! )H $Ql$=  
Kz_Np;v!  
这次用谁的日志好呢……这次就用我自己的好了……o(∩_∩)o...哈哈 ptMFJLG$W  
引用
CykkA`J2hI  
正在运行的进程 &mpOp$1V  
[PID: 712][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] HIu+H"  
[PID: 776][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] #~.DtAK  
[PID: 292][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] P` dmmI  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] auggbMH9K$  
[C:\Syswm1j\Ghook.dll] [N/A, ] |a (+(ja  
[PID: 320][e:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70] JX5^$}L  
[e:\program files\rising\rfw\RsGuiLib.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 33] RWZ"#E-  
[e:\program files\rising\rfw\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5] \ -%.kt  
[e:\program files\rising\rfw\RfwCtrl.dll] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 11] }K|iR(+  
[e:\program files\rising\rfw\RsXML.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2] ^yGqgD  
[e:\program files\rising\rfw\PngDll.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5] e(Wbx>  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] Fl)xu&""n  
[C:\Syswm1j\Ghook.dll] [N/A, ] 31"wUYKcv  
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] -"fFKUPQ  
[PID: 1164][C:\Program Files\ATI Technologies\ATI.ACE\cli.exe] [ATI Technologies Inc., 1.11.0.0] @ S25')  
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] !q*3'g}CER  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573] 'L-s   
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] nZa',g~>P  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573] nvBj|@ 4"  
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573] $yGy_7;z  
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ] sts ?Di  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573] `#D0 J  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573] 74O4KkVH  
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573] FNh'giD  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ] t[ <yi/  
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465] IurP;  
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] vUPz#Lq1k  
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] O)33uL$:  
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464] :(^IlL>x  
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970] &Sa%|&Lz  
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573] O/dt(Cc  
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ] rb9O{.&T  
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464] *|tj?7'h  
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573] G @4GzDJ  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ] |ezt{ 4;y  
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573] MO g|:m9j-  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] \x|je B  
[c:\program files\ati technologies\ati.ace\cli.component.runtime.dll] [ATI Technologies Inc., 1.2.2114.465] &S;Q+@1  
[c:\program files\ati technologies\ati.ace\aem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] GWA5mVC4E  
[c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll] [Microsoft Corporation, 1.1.4322.573] @ d#W4  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_d3d144b1\system.drawing.dll] [N/A, ] MddM/AU  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] zBYJB  
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.runtime.dll] [ATI Technologies Inc., 1.2.2114.456] \`lAx>_Uy  
[c:\program files\ati technologies\ati.ace\cli.component.runtime.shared.dll] [ATI Technologies Inc., 1.2.2026.29946] jE!mWAXpk  
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076] U$..XF0  
[c:\program files\ati technologies\ati.ace\dem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] mM+RCAB~  
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945] McwlmJ$jB  
[c:\program files\ati technologies\ati.ace\dem.graphics.demosinfo.dll] [ATI Technologies Inc., 1.2.2026.29947] cm9WaSFuv  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573] :G dyo5|  
[c:\program files\ati technologies\ati.ace\dem.graphics.demosadapterinfo.dll] [ATI Technologies Inc., 1.2.2026.29960] 8b En  
[c:\program files\ati technologies\ati.ace\dem.graphics.dematiadapterinfo.dll] [ATI Technologies Inc., 1.2.2095.19505] {!BrH U_6  
[c:\program files\ati technologies\ati.ace\dem.graphics.demdriversettings.dll] [ATI Technologies Inc., 1.2.2026.29947] x%I{]jsv~  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573] \86I~aU  
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573] _ 6!<sX+J  
[PID: 1152][D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe] [Cyberlink Corp., 6.00.1027] ficme[TN  
[D:\Program Files\CyberLink\PowerDVD\CLRCEngine2.dll] [CyberLink Corp., 3.2.2021 ] BGd