教你分析SREng日志

0 发表于: 2007-11-11

倒序阅读 ┊ 只看楼主 ┊ 小中大

来源于原创分类

教你分析SREng日志

作者声明

本帖已经发布到多个论坛，包括（按发布先后顺序）：
====
人民教育出版社论坛【精】：http://bbs.pep.com.cn/viewthread.php?tid=303935&fromuid=422027
爱好者论坛（CFAN）【精】：http://bbs.cfan.com.cn/viewthread.php?tid=601475
Avira中国使用者服务论坛：http://www.avira.org.cn/bbs/viewthread.php?tid=7264
电脑报论坛（数动联线）【精】：http://bbs.cpcw.com/viewthread.php?tid=1254228
====
原创作品，欢迎指点！转载请注明出处，谢谢合作
====
前言

　　我接触SREng的时间并不长。第一次接触SREng，是在今年4月。那时我们家才刚刚上网。有一天我上网的时候，发现瑞星弹出了好几条修改注册表的信息，开始没注意，允许了几个，后来才感觉不对劲……然后在任务管理器里面发现了有个mppds.exe。尽管当时我的水平并不是很高，但是直觉告诉我这个进程有问题。所以我就用瑞星的卡卡扫了个日志，发到了卡卡论坛上。在那里，我第一次接触到了SREng这个词……

附：帖子地址http://forum.ikaka.com/topic.asp?board=28&artid=8290806
我现在再看那个日志，我自己也能发现所有的问题了。

　　我的问题解决之后，我就对SREng这个软件产生了兴趣：扫个日志就能解决问题！后来，我加入了水树雨下签名里的（现在没有了）反病毒交流群，在那里，我和他们学到了好多东西，经验也一点点地丰富起来了。
　　我还看过一个SREng日志的分析教程，对我的帮助也比较大。附上地址：
http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html

　　下面我就从最基本的开始，教大家怎样看SREng日志。看完这个就会知道：其实分析日志是一件很简单的事！千万不要被这么长的篇幅吓到哦！希望大家有耐心看完！

我的目的就是，让所有看过的人都能够自己分析SREng日志！呵呵~~

PS：在这里我附上了kuing、竹风铃和我自己的日志。所以篇幅会显得特别长。其实如果把所附日志去掉，篇幅就会很短了……所以一定要有耐心……

另：在写《浏览器加载项分析方法》的时候，得到了ho121的帮助，在此提出感谢~~

　　如果发现病毒，先别着急删，请看7楼的清除方法

[ 此贴被李牧原在2007-11-11 12:12重新编辑 ]

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

1 发表于: 2007-11-11

只看该作者 ┊ 小中大

扫描日志方法：

　　首先，请到这里下载最新版的SREng：
http://download.kztechs.com/files/sreng2.zip（地址没变，还是以前的地址。不过内容变了哦！如果用迅雷，一定要重新下载一遍！）

　　解压，运行其中的SREngPS.exe。如果无法运行或者打开后自动关闭，可以改名为123321.com或者abcdef.scr或defedfsd.pif（文件名自己随便弄，但【后缀名】不要改）最好是以管理员权限帐户运行，这样扫描的效果最好。

　　如果为英文界面，单击菜单栏里的Tools——Options，在弹出窗口里的Please select a lauguage下面的下拉三角中选择Simplifed Chinese，点Ok，重启程序就变成中文的了。如图：

　　打开SREng后，屏幕右下角有可能出来这个通知，不用管它，直接点“关闭”。因为这很可能是杀毒软件进行的正常修改，再说如果扫描个日志，这项信息也会出现在日志中，千万不要自行修复入口点错误！！

　　下面要开始扫描了。扫描之前最好能够把QQ、迅雷、IE等一切不必要的程序关掉（如果是特定软件出了问题，扫描的时候要把那个软件打开）。准备好之后，点SREng界面内的“智能扫描”，把上面的那几项全部选中，然后选择下面的“检查进程模块的数字签名”（防止一些病毒用了假的数字签名）。最后点“扫描”。

新版SREng的扫描速度比较快，据说要比旧版的速度提高三倍以上。下图是新版SREng的扫描界面，是不是一目了然呢？

扫描结束后，单击“保存报告”，会保存为一个文件名为SREngLOG.log的日志文件。用记事本打开，按CTRL+A、CTRL+C全选复制，然后可以把这个日志粘贴（CTRL+V）到论坛上面。

　　我要教大家的并不是怎么把日志传到论坛上面让别人帮忙看，而是自己去分析！看着那一大堆密密麻麻的英文字母和符号，是不是心里一点底也没有？呵呵，不要紧，刚开始都会这样的，等熟悉了就好了。下面我就一段一段地把SREng日志的分析方法教给大家！

[ 此贴被李牧原在2008-04-01 22:38重新编辑 ]

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

2 发表于: 2007-11-11

只看该作者 ┊ 小中大

启动项目：注册表、启动文件夹分析方法：

　　我们首先来看日志的开头部分（以kuing的日志为例，本人应该不会介意吧……）：

引用
[CODE] /LSUgIer[t
2007-07-07,22:56:31 r?wf?]
System Repair Engineer 2.5.16.900 S!tHEz$/
Smallfrogs (http://www.KZTechs.com) =s{^fA9
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能 ks-D\7M
以下内容被选中： SBP3`64 t
所有的启动项目（包括注册表、启动文件夹、服务等） S7n{qBE
浏览器加载项 p(kNf#D
正在运行的进程（包括进程模块信息） Y;'KS#B
文件关联 +LuL# Y
Winsock 提供者 ^O$$ S
Autorun.inf NCmz[[qV
HOSTS 文件 i(GLirf
进程特权扫描 /sK[|

　　这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。
　　
　　现在我们来看这部分：

引用
启动项目 9ubdlme
注册表 |xXF 7+#
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] `7G["z2W
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] pU?4T%pV
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] #8w~Tg|
<load> <> [N/A] <iGmx%^
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ~g*BqEJ<
<igfxtray><C:\WINDOWS\system32\igfxtray.exe> [(Verified)Microsoft Windows Publisher] -UP|z-4
<igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher] mk,YA-
<igfxpers><C:\WINDOWS\system32\igfxpers.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher] vm620~g
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] p4l>&!Ej-
<RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.] EJ2og6 ;
<runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup> [Beijing Rising Technology Co., Ltd.] hTH*N3~.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] |0E Ln-
<KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.] DSE{v[5&
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "P{0ZPX:I
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher] v"&\$
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher] 5.QoT"0m?
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] sCK>4G
<AppInit_DLLs><> [N/A] NNZjWsWu
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] l]7to7xPs
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] [3}W}qK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 3!r)Ml"m
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.] ;GDx^/u!1
<{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll> [Beijing Rising Technology Co., Ltd.] A|$_R!S+T
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] w0{CmlXT_
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher] "Q D:v:Z)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] aSaEJk4Hgz
<WinlogonNotify: igfxcui><igfxdev.dll> [(Verified)Microsoft Windows Hardware Compatibility Publisher] wEu]At2D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] 39W}+!U`
<WinlogonNotify: WgaLogon><WgaLogon.dll> [(Verified)Microsoft Corporation] 4]6H4L3,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] AXbS4SK}
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A] 5xvYFvEV
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] **D@>A1}
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A] V55v\
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] `sQ*v^+
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A] 5H[{@Q
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] Q)}Xls
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A] $o,1P3`s41
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] @<QZs*"
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher] >x8\)R25
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] @>#_t'1U
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher] T\iC'&{
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] KQig7
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher] (_@aklyUB
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] ,?5Ga
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A] F_wceuh(
mVL`.
================================== }fbw@R,Gi
启动文件夹 b5=qxc5C
N/A 8}O<?p.

　　这段日志里可以看出，你电脑开机的时候都会运行哪些程序。
　　粉色字样的是是注册表项。也就是这个程序在注册表中的位置。如果是病毒，可以通过开始——运行输入regedit，查找该键值来取消病毒的自动启动。
　　注册表项下一行，“< >”里面的，前面的是这个注册表项的键，后面的是这个键的键值。再后面，是程序的公司版本信息。如果通过了数字签名验证，在Microsoft的前面会有(Verified) 的字样。
　　PS：颜色是我自己加上的。颜色只弄了一部分，其他的类推，不用我全弄上了吧……

　　分析方法：对于新手来说，最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块，（*.exe、*.dll），可以上www.google.cn去搜索一下，时间长了，积累些经验，下次再看到这些进程的时候，心里就有点底啦！注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件（如ATi催化剂、音效管理员）等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程，后面的公司信息是[N/A]，这个很有可能就是病毒！！

%systemroot%是系统安装目录，如果是Win98或者XP之类的，对应目录一般为C:\WINDOWS\；如果为WinNT或者2000，对应目录一般为C:\WINNT
============================================================　　
一般的启动程序都是在下面这些项里面了，要好好分析哦~~对于不确定的进程，到www.google.cn里面查。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
============================================================
下面这四项要注意，如果日志里面的和这四个不一样，那么很可能就有问题
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]（注意那个逗号！这个逗号不可省略）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
============================================================
如果有下面的这两项，“<>”里面有进程，很可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
<run><> [N/A]
============================================================
下面这两项下面如果有键，也可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
============================================================
下面的三项如果有除了杀毒软件之外的键，很可能有问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
============================================================
可信项目（即有N/A，但可以确定没问题的项目）：
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load> <> [N/A]
<run> <> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]

如果“<>”里面没有东西，以上几项可以排除

%systemroot%\system32\shmgrate.exe
这个进程，虽然有些网站上说是病毒，但是貌似只有新版的SREng才能扫出来这个，本人目前可以确定这个进程没问题
%ProgramFiles%\Outlook Express\setup50.exe
这个进程也可以确定没问题
要注意路径！！
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k> [N/A]
这一项也可以排除
============================================================
还有的病毒，公司名称会假冒微软的数字签名，不过在启动项目——注册表里面，如果通过数字签名，在公司名称的前面会有个(Verified)

启动文件夹，就是你点“开始”——“程序”——“启动”那里面的文件，一般不会有什么问题（因为大部分病毒没那么弱智……放在这里，一般的菜鸟都能看出来……），但也不能掉以轻心！！

举几个病毒的例子：

<MsServer><msfir80.exe> [N/A]
很明显的，有 [N/A]，一下就注意到这个了。

<x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl132.exe> [N/A]
这个有点难度，注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1，正常的应该是两个字母l（rundll32.exe）。

<4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> []
这个和上面的那个是一个类型的，这个程序的名称一般人都能看出来有问题……还没有公司信息，键名也很奇怪。

上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的

这两个有点特殊：
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A]

这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的，所以是病毒，删掉。

还有个特殊的：SYSEXPLR.EXE这个程序，如果在超级解霸的目录下（比如HeroV8），那么就可以排除……如果在别的地方，可能就是冰河木马

这一项就介绍到这里啦~~

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

3 发表于: 2007-11-11

只看该作者 ┊ 小中大

服务、驱动程序分析方法：

这里的服务和驱动，显示的是非Windows自带的第三方服务驱动。
粉红色的是服务或驱动的名称，红色的是状态，蓝色的是启动方式，橙色的为文件的路径，紫色的为公司名称信息。

[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个服务，如果在进程里面没有特殊项的时候，是可信的，不用管它。
如果发现有其他的公司名称为N/A的或者假冒微软的服务和驱动，还有的服务驱动名称很奇怪，这样用Google和百度都搜索一下，搜索不到就有问题了。
再引用下kuing的日志……

引用
y5U4cIm3
服务 Py@lO:,0
[Human Interface Device Access / HidServ][Stopped/Disabled] $>WFZ`y
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> WLqWA=
[Rising Proxy Service / RfwProxySrv][Stopped/Manual Start] ORCiZ7
<c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.> |pm6$AL\X
[Rising Personal Firewall Service / RfwService][Running/Auto Start] =K}_vchJ
<c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.> pDAm6"|
[Rising Process Communication Center / RsCCenter][Running/Auto Start] U{'VR[r Y
<"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.> zV!9"d
[Rising RealTime Monitor / RsRavMon][Running/Auto Start] %^#9o*`@6
<"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> x5#+~
================================== 0Cc}wR\{t
驱动程序 cI+p}q
[2310_00 / 2310_00][Stopped/Boot Start] Z.
<\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.> E6!$\{v\
[3WAREDRV / 3WAREDRV][Stopped/Boot Start] [I`9@b>C<
<\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A> <j,'wl>'
[A320RAID / A320RAID][Stopped/Boot Start] >1#tl=TU9
<\SystemRoot\System32\BIRD\a320raid.sys><Adaptec, Inc.> }4\o\3W
[AAC / AAC][Stopped/Boot Start] D-S`g+%
<\SystemRoot\System32\BIRD\aac.sys><Adaptec, Inc.> A/W-ao
[AACSAS / AACSAS][Stopped/Boot Start] vxt} ,o
<\SystemRoot\System32\BIRD\aacsas.sys><Adaptec, Inc.> /&dEp
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start] ^ l6I,LQB
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.> y7\?~^Xg
[AmdK8 Compatible Device / AmdK8][Stopped/System Start] .=DsL#y9}Q
<System32\BIRD\amdk8.sys><Advanced Micro Devices> Y:*i:83r
[ARCM_X86 / ARCM_X86][Stopped/Boot Start] 6S8L+MK
<\SystemRoot\System32\BIRD\arcm_x86.sys><ARECA Technology Corporation> S&`BXc{8
[Rising TDI Base Driver / BaseTDI][Running/Auto Start] Vcj%*by
<System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.> T"h#,y
[BCHTSW32 / BCHTSW32][Stopped/Boot Start] d^25D?k'%{
<\SystemRoot\System32\BIRD\bchtsw32.sys><Broadcom Corporation> "s5DWo
[dpti2o / dpti2o][Running/Boot Start] 3uWyI!cNP
<\SystemRoot\System32\BIRD\dpti2o.sys><Microsoft Corporation> 1km}7n[SF
[ExpScaner / ExpScaner][Running/Auto Start] Uc'+eKS
<\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><> PIWi1G}
[FASTSX / FASTSX][Running/Boot Start] #P+Khtke
<\SystemRoot\System32\BIRD\fastsx.sys><Promise Technology, Inc.> rD1
[FASTTRAK / FASTTRAK][Running/Boot Start] RIVJUD2
<\??\C:\WINDOWS\system32\drivers\hjg47ql8p.sys><N/A> %k"aK
[HookCont / HookCont][Running/Auto Start] xl S)i81
<\??\C:\PROGRAM FILES\RISING\RAV\HOOKCONT.sys><Rising> ,)haw2A
[HookReg / HookReg][Running/Auto Start] it`0nfL
<\??\C:\PROGRAM FILES\RISING\RAV\HookReg.sys><> a/6~8|+?
[HookSys / HookSys][Running/Auto Start] O!#"z
<\??\C:\PROGRAM FILES\RISING\RAV\HookSys.sys><Rising> a`Fqd>#\
[HookUrl / HookUrl][Running/Auto Start] ;U.`vk5&e
<\??\C:\Program Files\Rising\Rfw\HookUrl.sys><Beijing Rising Technology Co., Ltd.> Xf];gEh
[HPT3XX / HPT3XX][Stopped/Boot Start] :4X'C&V#vn
<\SystemRoot\System32\BIRD\hpt3xx.sys><HighPoint Technologies, Inc.> .3O)cf=
[ialm / ialm][Running/Manual Start] $`{ZV82
<system32\DRIVERS\ialmnt5.sys><Intel Corporation> eYIUj"ww
[IASTOR / IASTOR][Running/Boot Start] *BSC/UT
<\SystemRoot\System32\BIRD\iaStor.sys><Intel Corporation> /EHg-E,rN
<\SystemRoot\System32\BIRD\m5289.sys><ULi Electronics Inc.> k5$%sS8
[MEGAIDE / MEGAIDE][Running/Boot Start] J,vItUtP=
<\SystemRoot\System32\BIRD\MegaIDE.sys><LSI Logic Corporation.> w3T_e[]1
[MEMSCAN / MEMSCAN][Running/Auto Start] ]RI~e$Nr
<\??\C:\PROGRAM FILES\RISING\RAV\MEMSCAN.sys><瑞星软件有限公司> l7th^K?N
[mProcRs / mProcRs][Running/Auto Start] )ntrr+a p
<\??\c:\program files\rising\rfw\mProcRs.sys><Beijing Rising Technology Co., Ltd.> [.1vVL2
[mraid35x / mraid35x][Running/Boot Start] l*\&
<\SystemRoot\System32\BIRD\mraid35x.sys><LSI Logic Corporation> C5rlkn?U#
[NFRD960 / NFRD960][Stopped/Boot Start] e1k) $
<\SystemRoot\System32\BIRD\nfrd960.sys><IBM Corporation> TGx75~W
[Netgroup Packet Filter / NPF][Stopped/Manual Start] ehCcIZ
<system32\drivers\npf.sys><Politecnico di Torino> R en_
[npkcrypt / npkcrypt][Running/Auto Start] UQb5Yoe!
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.> $2meSce&
[nv / nv][Stopped/Manual Start] Ml0,}
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation> u^;oFq3
[NVATABUS / NVATABUS][Running/Boot Start] =P8K)78zs
<\SystemRoot\System32\BIRD\NVATABUS.SYS><NVIDIA Corporation> Z)BTSY-s
[PNP680R / PNP680R][Stopped/Boot Start] o*f7'T"x
<\SystemRoot\System32\BIRD\pnp680r.sys><Silicon Image, Inc> tvTQ6
[Direct Parallel Link Driver / Ptilink][Running/Manual Start] w9p^=gMf
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.> Zz^Xa IaKc
[ql1080 / ql1080][Running/Boot Start] Y@P*_!
<\SystemRoot\System32\BIRD\ql1080.sys><QLogic Corporation> s)7/f!@g
[ql12160 / ql12160][Running/Boot Start] 1EgwS!
<\SystemRoot\System32\BIRD\ql12160.sys><QLogic Corporation> ;o{6xK.oF
[ql1280 / ql1280][Running/Boot Start] dll>]\>q?
<\SystemRoot\System32\BIRD\ql1280.sys><QLogic Corporation> rLS_}JwG
[RAIDSRC / RAIDSRC][Stopped/Boot Start] BP&V.p%Z7
<\SystemRoot\System32\BIRD\raidsrc.sys><Intel/ICP> v2?>nM,#F
[RR232X / RR232X][Stopped/Boot Start] Jx}u;bM~S
<\SystemRoot\System32\BIRD\rr232x.sys><HighPoint Technologies, Inc.> n8fE%yr\
[RsAntiSpyware / RsAntiSpyware][Running/Boot Start] 2M12!N
<\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising Technology Co., Ltd.> F _4;]
[RsFwDrv / RsFwDrv][Running/Auto Start] PK(1CO@>
<\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.> G2m'R[/M
[RsNTGDI / RsNTGDI][Running/Boot Start] /2pFnAC8
<\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.> AW-K?;q
[RSPPSYS / RSPPSYS][Running/Auto Start] EL1deRi
<\??\C:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><Rising> r@QN1g
[Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver / RTL8023xp][Running/Manual Start] VlC_dLG+S
<system32\DRIVERS\Rtlnicxp.sys><Realtek Semiconductor Corporation> B'+iq~(
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start] v@Y`q7Rk
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation> #h.7;kjp
[S150SX8 / S150SX8][Running/Boot Start] rt>Je|{7U
<\SystemRoot\System32\BIRD\S150sx8.sys><Promise Technology, Inc.> 0>xGFBy
[Secdrv / Secdrv][Stopped/Manual Start] >^al9mP
<system32\DRIVERS\secdrv.sys><N/A> (<I.M>
[SI3112 / SI3112][Stopped/Boot Start] :CtO"KI@^
<\SystemRoot\System32\BIRD\SI3112.sys><Silicon Image, Inc.> k}\.g:q
[sym_u3 / sym_u3][Running/Boot Start] JG\DNWN
<\SystemRoot\System32\BIRD\sym_u3.sys><LSI Logic> u22o?%1Y
[TwoTrack Compatible Device / TwoTrack][Stopped/Manual Start] DQfZ8~1
<System32\DRIVERS\TwoTrack.sys><IBM Corporation> 0Uu*U'/
==================================

我把BIRD的驱动省略掉了好多，否则篇幅会是现在的n倍……
如果驱动程序的路径是\SystemRoot\System32\BIRD\，完全可以无视掉……

[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>

[klif / klif][Running/System Start]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
这两个驱动程序都是可信的，虽然第二个有时候可能显示为有<N/A>，但大家也不用去管它，注意路径就可以了。
有时候会出现双驱动的情况，要格外注意！双驱动就是在一个路径下，同时出现两个文件名，文件名之间用空格隔开。这样的一定要看准啦！！

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

4 发表于: 2007-11-11

只看该作者 ┊ 小中大

浏览器加载项分析方法：

Hijackthis的作用在这里就显示出来啦！对应hijackhtis的02、03、08、09、016项，可以用 Hijackthis辅助分析，注意假冒假冒microsoft和macromedia的项

Hijackthis的使用及分析方法可以看人教论坛Full-Moon版主的置顶帖。

不过要讲的是SREng日志的分析方法，这一项也不能略过……

这次引用下竹风铃的日志……

引用
ud- S_U\]
浏览器加载项 QeB9KLek
[Thunder Browser Helper] >?'!h-Y?
{06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> `+4vTR3B5\
[AcroIEHlprObj Class] Dq(LQ#3f
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated> ?U0KJ 9
[启动迅雷5] i<Sm~}lm%
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <D:\迅雷\Thunder.exe, Thunder Networking Technologies,LTD> Gpb#xuuD
[豪杰超级解霸V8] wZ~xo<b.ah
{367E0A21-8601-4986-9C9A-153BF5ACA118} <D:\豪杰超级解霸V8\STHSDVD.EXE, N/A> [Y/K`B||
[信息检索(&R)] =G%|Um
{92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation> hZ_[]#S>FX
[Windows Genuine Advantage Validation Tool] [:W99#f2N
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation> %;P_i]0vH
[Tencent Safety Online Base Module] `O>(FsQD3
{C09B522F-8AED-4E21-A65C-DC1AB652BAEE} <C:\WINDOWS\DOWNLO~1\TSOBase.ocx, Tencent Corporation> lX_Kxvoek
[ScienceWord Control 5.0] 9^&wgf >
{C29E7AB7-8C79-421A-AB75-0AE00E848C2D} <C:\WINDOWS\system32\SCIENC~1.OCX, Novoasoft Corporation> YT^bN)4
[Shockwave Flash Object] ^M%)0>p'
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.> mL}w +]1c
[CPasswordEditCtrl Object] 8{ywUQ8Xj[
{E787FD25-8D7C-4693-AE67-9406BC6E22DF} <C:\WINDOWS\system32\qqedit\qqedit.dll, 腾讯科技（深圳）有限公司> V%AwB=zd
[Thunder Browser Helper] Gm5EB>
{06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> !A(;i1-
[AcroIEHlprObj Class] XGFjGSN?I
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated> O\x{@PI5Z
[HTML Document] dun<VTc?
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A> 97J{3(O
[Windows Media Player] .V-m~*c
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> 4RqgpMUo
[Thunder Browser Helper] (AqVYhD
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> |bJuj{{{Ql
[SearchAssistantOC] =nto+f
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A> ws7<CW 8
[AUDIO__MP3 Moniker Class] HJ16k~/=
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> 'V= pM
[VIDEO__X_MS_ASF Moniker Class] p%X]9
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> i'HTC%
[Shockwave Flash Object] EU~gDb
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.> ^_D]y6^
[&使用迅雷下载] +o]}E*A~
<D:\迅雷\Program\geturl.htm, N/A> llqzg+PF
[&使用迅雷下载全部链接] #YO4-5
<D:\迅雷\Program\getallurl.htm, N/A> s(au|L30
[上传到QQ网络硬盘] I@Y}<
<E:\Q\AddToNetDisk.htm, N/A> f*O.+Lq
[导出到 Microsoft Office Excel(&X)] _sU{b$3
<res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A> O0'NJWZLeQ
[添加到QQ自定义面板] _y',WP9'
<E:\Q\AddPanel.htm, N/A> &wl~<%PIl
[添加到QQ表情] o,ZwDx;]
<E:\Q\AddEmotion.htm, N/A> n#^j@S[{u
[用QQ彩信发送该图片] j< 8y6K(cF
<E:\Q\SendMMS.htm, N/A> OX"N@xA"0
[豪杰超级解霸V8实时播放] }$w}*TUR
<D:\豪杰超级解霸V8\MPURLGET.HTM, N/A> K;,!gn2
tRO21|c
==================================

粉色的是浏览器加载项名（也就是常说的BHO），蓝色部分是CLSID（有的BHO没有CLSID），一般每一种BHO都有唯一的CLSID，否则可能会有冲突，不用去分析。橙色部分是文件路径，紫色部分为公司名称。

分析的时候还是要注意公司名称，对公司名为N/A的，Google搜索一下。
下列几个为排除项目：
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
还有最下面那几项QQ和迅雷的，如果文件路径没有问题，也可以排除。

感谢ho121在我写这一项时对我的帮助！^_^

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

5 发表于: 2007-11-11

只看该作者 ┊ 小中大

正在运行的进程分析方法：

这一项可以说是整个日志的主体部分，一般来说也是最长的一部分！（有时驱动可能会更长）虽然分析这一项时需要注意的事项并不多，但是一定要细心，还要有耐心！不要错过任何一个可能是病毒的项目！

这次用谁的日志好呢……这次就用我自己的好了……o(∩_∩)o...哈哈

引用
CQk3rr \
正在运行的进程 oxcd:,Vc
[PID: 712][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] `&H# v[h38
[PID: 776][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] "-EVZ}eQ{
[PID: 292][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] D0T~SWD%b
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] cG1v,)
[C:\Syswm1j\Ghook.dll] [N/A, ] T1$^]p\_
[PID: 320][e:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70] UP+?+K;
[e:\program files\rising\rfw\RsGuiLib.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 33] NtnwM95 "
[e:\program files\rising\rfw\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5] 9|{:>Pik
[e:\program files\rising\rfw\RfwCtrl.dll] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 11] |||o<
[e:\program files\rising\rfw\RsXML.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2] 0m%{#-/Q?
[e:\program files\rising\rfw\PngDll.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5] `BQ)S}<py
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] Tc_u~
[C:\Syswm1j\Ghook.dll] [N/A, ] 2W40_>6
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] miELLYS`
[PID: 1164][C:\Program Files\ATI Technologies\ATI.ACE\cli.exe] [ATI Technologies Inc., 1.11.0.0] fgJ3+),
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] E)'H3v'Q,#
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573] 87odR7{f
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] w|QrT`
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573] ;yBH4Vx(5
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573] }p:s/f
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ] ybE]{l?
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573] |Z,Yl0
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573] (.&vEwK
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573] yzJ{d
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ] ][w)L/(CC
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465] w_"wu=`X
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] <zoIR(];c
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] Jz%`>r
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464] Pk^,03b
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970] BExiFcq
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573] Uqd4V.,
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ] YouLF7o`
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464] lNbas,S
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573] FJG%>h[C;_
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ] 0?M\d@M3a
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573] _aU0b:!
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] X Gx& <:4
[c:\program files\ati technologies\ati.ace\cli.component.runtime.dll] [ATI Technologies Inc., 1.2.2114.465] -a{zC
[c:\program files\ati technologies\ati.ace\aem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] c{d w8H`
[c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll] [Microsoft Corporation, 1.1.4322.573] 1_v5z:{M
[c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_d3d144b1\system.drawing.dll] [N/A, ] (}LQ;jE-
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] <~|>G:
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.runtime.dll] [ATI Technologies Inc., 1.2.2114.456] MojSpb<
[c:\program files\ati technologies\ati.ace\cli.component.runtime.shared.dll] [ATI Technologies Inc., 1.2.2026.29946] vF% ) |
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076] 2&aK{i#:+
[c:\program files\ati technologies\ati.ace\dem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] L84PomS
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945] 1A[bTlM
[c:\program files\ati technologies\ati.ace\dem.graphics.demosinfo.dll] [ATI Technologies Inc., 1.2.2026.29947] Jvf`B,
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573] n"#[IAU+
[c:\program files\ati technologies\ati.ace\dem.graphics.demosadapterinfo.dll] [ATI Technologies Inc., 1.2.2026.29960] (p2D*z$x
[c:\program files\ati technologies\ati.ace\dem.graphics.dematiadapterinfo.dll] [ATI Technologies Inc., 1.2.2095.19505] RzoN0]qTJ
[c:\program files\ati technologies\ati.ace\dem.graphics.demdriversettings.dll] [ATI Technologies Inc., 1.2.2026.29947] "jZs <)m
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573] jg#+ J
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573] S >+&}NMn
[PID: 1152][D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe] [Cyberlink Corp., 6.00.1027] Thq cJz
[D:\Program Files\CyberLink\PowerDVD\CLRCEngine2.dll] [CyberLink Corp., 3.2.2021 ] kx(.I0m
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] tcm3Rrt:
[C:\Syswm1j\Ghook.dll] [N/A, ] HsPHH=5F
[PID: 1532][C:\Program Files\Rising\AntiSpyware\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 6] Ktl[yT
[C:\Program Files\Rising\AntiSpyware\iep_ctrl.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 4] V<-' 5G]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] mZ0 o$
[C:\Syswm1j\Ghook.dll] [N/A, ] 4`JAn9PS|7
[PID: 1844][C:\Program Files\MSI\Live Update 3\LMonitor.exe] [, 1, 0, 0, 3] QF8x?H<}x
[C:\Program Files\MSI\Live Update 3\Lang\res804.dll] [N/A, ] f"G#1!5
[C:\Program Files\MSI\Live Update 3\nvgpio.dll] [NVIDIA Corporation, 1.0.1.5] \H.lO2]
[C:\WINDOWS\system32\msdmo.dll] [, ] ]NEw*1A
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] ZRJCrY"
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] xcW+8u^(
[C:\Syswm1j\Ghook.dll] [N/A, ] W"Q$e\:l/
[PID: 1972][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5, 1, 0, 58] .J M&,=`
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] :fBG_QG
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] V:pE? c<
[C:\Syswm1j\Ghook.dll] [N/A, ] &:'{Vbc2VN
[PID: 1960][C:\Syswm1j\svchost.exe] [N/A, ] `8$Y2Rp-
[C:\Syswm1j\Ghook.dll] [N/A, ] J"JfHNOQC
[PID: 556][C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe] [ATI Technologies Inc., 1.11.0.0] ,CDQ*~
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] eP(2z6%hb
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573] %WV5+(fXd
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] }p'0/<d
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573] iN]-9~j8
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573] ]8-nD
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ] f3jyE;KB
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573] 9G0s"%rW
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] <}g5EKmh
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573] kvk1oeo
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573] ^?hYLrH#
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ] ^';K0rp
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465] fs]&,Y
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] |@5IA9u/l
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] .r?""GSP
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464] uG&d89-
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970] m&Cqet;H@
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573] yptbhI$
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ] +ss<x]`3>
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464] aG2qUxk^s
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573] Wnf++
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ] Gy"3/]~4
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573] %,]A v-L
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] iseK+Z[]{
[c:\program files\ati technologies\ati.ace\cli.component.systemtray.dll] [ATI Technologies Inc., 1.2.2114.432] dN`<t1FP
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076] u<WZx lN
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945] +fx|c@l
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573] tf<hJ%O
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573] 4xQH$#4
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573] m N* ;`.
[PID: 1400][E:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe] [Yahoo! Inc., 8,1,0,0] X_hXF!iv$
[E:\Program Files\Yahoo!\Messenger\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] ^loj;jU6
[E:\Program Files\Yahoo!\Messenger\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] qm p@w/;,D
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] 1M!kp}q9j
[C:\Program Files\Yahoo!\Shared\YbSkin2.dll] [Yahoo! Inc., 2006, 10, 11, 1] ]` *o-g
[E:\Program Files\Yahoo!\Messenger\res_msgr.dll] [Yahoo! Inc., 8,5,0,1] (u(r&a6k+
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] ?6{V*~k
[C:\Syswm1j\Ghook.dll] [N/A, ] DjteE_
[PID: 2032][C:\WINDOWS\system32\wuauclt.exe] [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)] I +|&Eh/q
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] %&.mR?
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] 8y"%lYANz
[C:\Syswm1j\Ghook.dll] [N/A, ] 4rFvxi]
[PID: 2468][E:\Program Files\Maxthon\Maxthon.exe] [Maxthon International Ltd., 1, 5, 9, 80] xx.VY
[E:\Program Files\Maxthon\maxzlib.dll] [ , 1, 0, 0, 2] \2VhnN#e^
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] MwNt-'*J
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] ju(3
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CorperfmonExt.dll] [Microsoft Corporation, 1.1.4322.573] v5aNF
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] jSQU/(HC`
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [vfB&,:TbP
[C:\Syswm1j\Ghook.dll] [N/A, ] cB|VGC#
[E:\Program Files\Maxthon\Services\RealTime\real_time.dll] [, 1, 0, 0, 1] )IYE7i/
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] *j@b=#
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorie.dll] [Microsoft Corporation, 1.1.4322.573] 8A)0KcW'J-
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll] [Microsoft Corporation, 1.1.4322.573] B18it%+H
[C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx] [Adobe Systems, Inc., 9,0,28,0] 4CZ=kIU6P
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] rl|[)i?4`
[PID: 3956][E:\Program Files\Rising\Rav\RsAgent.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 12] pH8zQ@()
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] gG]U(^EV
[E:\Program Files\Rising\Rav\RsCommX.dll] [rising, 18, 0, 0, 1] 6+(#|4/;;
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] #MJVk:(S
[C:\Syswm1j\Ghook.dll] [N/A, ] 3t%%35
[PID: 4020][C:\WINDOWS\msagent\AgentSvr.exe] [Microsoft Corporation, 2.00.0.3424] >J#&v7x(
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] _Dv++na!
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] -P<,VN7
[C:\Syswm1j\Ghook.dll] [N/A, ] ~lQ|c$
[PID: 2208][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] }91^Pf<Li
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] U02DOk}M
[C:\Syswm1j\Ghook.dll] [N/A, ] Vw3d
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll] [N/A, ] E9uy-u$
[e:\program files\rising\rfw\jifvpyyl.dll] [N/A, ] {_j4i^
[D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 7.0.0.0] hi+:=v#&
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] jFj=LTQ
[C:\WINDOWS\system32\mppds.dll] [N/A, ] ;A u6[C
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ] 8M`w
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] uB0j)\A]/4
[PID: 3780][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 1 44g]?bM
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] $/ A)@7<
[C:\Syswm1j\Ghook.dll] [N/A, ] #jK~Iq
[PID: 3624][C:\DOCUME~1\李牧原\LOCALS~1\Temp\Rar$EX02.359\SREng.EXE] [Smallfrogs Studio, 2.4.12.806] D;ftn:V
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] VEXv8
[C:\Syswm1j\Ghook.dll] [N/A, ] t_TRHQQ9A7
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] 4OlT]ucT
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] q$mcMoY>
{+Oyb
==================================

http://bbs.pep.com.cn/viewthread.php?tid=90515
秋风树林的这个精华帖对于进程的名称已经讲得很明白了，对于进程名我就不想多说什么了。

下面讲一下分析方法：
PID:XXX：对于这一项，有兴趣的朋友可以参考一下10楼：什么是PID（进程标识符）
一般来说，进程前面没有[PID:XXXX]的进程是安全的，不用去分析。
我这个日志是用旧版的SREng扫描的，新版的SREng在进程前面的方括号[ ]里除了PID参数外，还有用户名。我的新版日志的方括号里面就是这样的：
[PID: 932 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 296 / 李牧原][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

“PID:XXX/　”后面的SYSTEM和李牧原就是运行这项进程的用户名。SYSTEM说明这项进程为系统进程。

PID参数后面的，就是进程路径了。SystemRoot，如果是NT和2000系统，就是X:\WINNT，如果是XP之类的，就是C:\WINDOWS。再后面，就是公司信息。和前几项一样，如果是[N/A]或者假冒Microsoft Corporation，那么就是有问题的。

进程名称的下几行（如果有的话）是进程加载的dll。一般来说，有[N/A]的就是有问题的。这时候应该用Google搜索一下这个dll，如果发现有问题或者根本搜索不到，就应该删除。有的dll名称是随机的n位字母数字，一般来说都是有问题的。如：
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ]

对于Explorer.EXE加载的dll要格外注意！

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

6 发表于: 2007-11-11

只看该作者 ┊ 小中大

其他杂项分析方法：

文件关联:一般来说，有Error的都是要修复的，除非关联的程序是自己安装的。例：txt的关联为UltraEdit-32。

Winsock 提供者：默认为N/A，如果不是N/A，先搜索一下，如果有问题，用LSPFix修复。修复后如果不能上网就用WinsockxpFix修复。
不过现在兔子，360，卡卡都有强力修复Winsock

引用
#VB% }-c
Winsock 提供者 _3D*7I}G/
MSAFD Tcpip [TCP/IP] XS)!F,0l<
C:\WINDOWS\system32\ldmedia4.dll(, N/A) [;b|?Sy
MSAFD Tcpip [RAW/IP] U (vQ9i
C:\WINDOWS\system32\ldmedia4.dll(, N/A) 9UPmJ{f1
*IBrm153
==================================

这个ldmedia4.dll就是有问题的，修复之后再删除这个文件就行了

Autorun.inf：默认也是空值，如果有程序，先搜索一下，如果有问题，删除该程序。例：

引用
Autorun.inf ,.e+Q->
[C:\] *$4SR?
[AutoRun] %&?w1%@t
open=auto.exe T!DehVy*
shellexecute=auto.exe ,U\e+~$d
shell\Auto\command=auto.exe H/C>PNC
[D:\] *(||o4!
[AutoRun] 3)ZUkm.
open=auto.exe t%g'u\
shellexecute=auto.exe [Vk<o
shell\Auto\command=auto.exe z/vZy3H
[E:\] ;+oU $z_
[AutoRun] WtA!FoU
open=auto.exe ?]>lJp$
shellexecute=auto.exe HqAlYl
shell\Auto\command=auto.exe ,-RsIQZ"x_
[F:\] eH0+=D
[AutoRun] ALYk:VOo\
open=auto.exe P0G0F191
shellexecute=auto.exe P&PvX/o
shell\Auto\command=auto.exe }Q{Th
==================================

删除各磁盘根目录下的autorun.inf和auto.exe。

HOSTS 文件：默认值为：

引用
HOSTS 文件 LCsW.oM
127.0.0.1 localhost E#3$*}Sk
==================================

如果和默认值不符，一般需要用SREng修复HOSTS文件。

进程特权扫描：搜索进程，如果是病毒，删除之。

API HOOK：先搜索那几个文件，如果有问题，启动SREng时，右下角会出来提示，先点击“查看详情”，再点“修复入口点错误”就可以了。

隐藏进程：搜索进程，如果是病毒，删除之。

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

7 发表于: 2007-11-11

只看该作者 ┊ 小中大

发现病毒后清除方法：

删除顺序：服务驱动——进程——Autorun.inf——其他项目。

删除服务可以用费尔木马强力清除助手（尽量避免直接双击硬盘打开，应在地址栏中输入盘符，如C:），终止进程可以用冰刃（IceSword）。

PS：如果冰刃打不开，可以把冰刃的程序文件名改为后缀名为com、pif或scr
还可以在开始→运行中输入如下内容：

复制代码

taskkill /f /im 进程名.exe

那个进程名就是你想要终止的进程

其它项目用费尔木马强力清除助手删除就可以了。注册表启动项目可以直接用SREng删除。

用费尔木马强力清除助手删除服务驱动及其他文件的时候，要勾选“抑制文件再次生成”

为保险起见，清除之前最好先备份一下系统

以今日之我，胜昨日之我；以明日之我，胜今日之我！

李牧原离线

级别: DOS 3.X

8 发表于: 2007-11-11

只看该作者 ┊ 小中大

小结：

分析日志，一定要细心，还要有耐心。不要用分析助手，有可能会错过一些重要的项目！

防范……网上已经有很多了，总之就是不要打开陌生的网站，用可移动存储设备之前要杀毒……在这里不再赘述……

希望大家都能够学会……这是我最大的心愿……

PS：搜索方法：dll和sys文件如果Google搜索不到，再用雅虎和百度搜索一下，如果都搜索不到，那么很可能就是有问题的。

进程文件直接用google搜索就可以了，也可以搜索搜索删除的方法

呼~~终于传完了，改了几个地方
吃饭去咯！~~

以今日之我，胜昨日之我；以明日之我，胜今日之我！

山下的人离线

级别: 版主大人

9 发表于: 2007-11-12

只看该作者 ┊ 小中大

写的很不错，支持下

雄关漫道真如铁，而今迈步从头越

dark-blue离线

级别: AVF初窥者

10 发表于: 2008-08-01

只看该作者 ┊ 小中大

顶收藏了一直看不懂
~