我们首先来看日志的开头部分(以kuing的日志为例,本人应该不会介意吧……):
l.`PrA|! YWW:,><Bzx 引用
[CODE]
/LSUgIer[t 2007-07-07,22:56:31
r?wf?] System Repair Engineer 2.5.16.900
S!tHEz$/ Smallfrogs (
http://www.KZTechs.com)
=s{^fA9 Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
ks-D\7M 以下内容被选中:
SBP3`64 t 所有的启动项目(包括注册表、启动文件夹、服务等)
S7n{qBE 浏览器加载项
p(kNf#D 正在运行的进程(包括进程模块信息)
Y;'KS#B 文件关联
+LuL# Y Winsock 提供者
^O$$ S Autorun.inf
NCmz[[qV HOSTS 文件
i(GLirf 进程特权扫描
/sK[|
HV5{a+ 这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。
HDudhIz? }zPI@bg 现在我们来看这部分:
M4iJ2Xeqe xPs0no9G 引用
启动项目 9ubdlme
注册表 |xXF
7+#
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] `7G[" z2W
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] pU?4T%pV
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] #8w~Tg|
<load> <> [N/A] <iGmx%^
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] ~g*BqEJ<
<igfxtray><C:\WINDOWS\system32\igfxtray.exe> [(Verified)Microsoft Windows Publisher] -UP|z-4
<igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher] mk,YA-
<igfxpers><C:\WINDOWS\system32\igfxpers.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher] vm620~g
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] p4l>&!Ej-
<RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.] EJ2og6 ;
<runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup> [Beijing Rising Technology Co., Ltd.] hTH*N3~.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] |0E Ln-
<KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.] DSE{ v[5&
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "P{0ZPX:I
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher] v"&\$
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher] 5.QoT"0m?
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] sCK>4G
<AppInit_DLLs><> [N/A] NNZjWsWu
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] l]7to7xPs
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] [3}W}qK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 3!r)Ml"m
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.] ;GDx^/u!1
<{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll> [Beijing Rising Technology Co., Ltd.] A|$_R!S+T
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] w0{CmlXT_
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher] "Q D:v:Z)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] aSaEJk4Hgz
<WinlogonNotify: igfxcui><igfxdev.dll> [(Verified)Microsoft Windows Hardware Compatibility Publisher] wEu]At2D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] 39W}+!U`
<WinlogonNotify: WgaLogon><WgaLogon.dll> [(Verified)Microsoft Corporation] 4]6H4L3,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] AXbS4SK}
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A] 5xvYFvEV
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] **D@>A1}
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A] V55v\
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] `sQ*v^+
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A] 5H[{@Q
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] Q)}Xls
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A] $o,1P3`s41
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] @<QZs*"
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher] >x8\)R25
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] @>#_t'1U
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher] T\iC'&{
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
KQig7
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher] (_@aklyUB
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] ,?5G a
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A] F_wceuh(
mVL`.
================================== }fbw@R,Gi
启动文件夹 b5=qxc5C
N/A 8}O<?p.
>`H6Q/~; kl7o&G:m 这段日志里可以看出,你电脑开机的时候都会运行哪些程序。
-bD[2 粉色字样的是是
注册表项。也就是这个程序在注册表中的位置。如果是病毒,可以通过开始——运行输入regedit,查找该键值来取消病毒的自动启动。
nA7,J\P 注册表项下一行,“< >”里面的,前面的是这个注册表项的
键,后面的是这个键的
键值。再后面,是程序的
公司版本信息。如果通过了数字签名验证,在Microsoft的前面会有
(Verified) 的字样。
XVe}&H PS:颜色是我自己加上的。颜色只弄了一部分,其他的类推,不用我全弄上了吧……
w! E
D_`UL ;A\t,6V] N)?PYw7A 分析方法:对于新手来说,最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块,(*.exe、*.dll),可以上
www.google.cn去搜索一下,时间长了,积累些经验,下次再看到这些进程的时候,心里就有点底啦!注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件(如ATi催化剂、音效管理员)等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程,后面的公司信息是[N/A],这个很有可能就是病毒!!
YDHitX+ \7gFXer %systemroot%是系统安装目录,如果是Win98或者XP之类的,对应目录一般为C:\WINDOWS\;如果为WinNT或者2000,对应目录一般为C:\WINNT H}0}b8b{ ============================================================
zzDFRLA=D8 一般的启动程序都是在下面这些项里面了,要好好分析哦~~对于不确定的进程,到www.google.cn里面查。 VA_a~ksRR
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] On/@g"Q H
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] |3F%8?/G;
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] >iDn5)L
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] kBjWN0Fg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] eVJ"n%R
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] f9x: F
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] u=;#G$K;c
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] E}m,]"tkV
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] g~Yg;_
============================================================ A/SRg4
下面这四项要注意,如果日志里面的和这四个不一样,那么很可能就有问题
*@leLs [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] ]zP@_Xfbc
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
i}Y-)@ W <Userinit><C:\WINDOWS\system32\userinit.exe
,> [(Verified)Microsoft Windows Publisher](注意那个逗号!这个逗号不可省略)
2do-cDHi [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <53on.N'
<AppInit_DLLs><> [N/A]
4XGv4dgp [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] #0;w&QN <UIHost><logonui.exe> [Microsoft Corporation]
}:^`lr ============================================================
*$>"1k 如果有下面的这两项,“<>”里面有进程,很可能有问题
2rOQ('SB [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 5dbs,`fft
<load><> [N/A]
AFAMrwi" <run><> [N/A]
s~za.j ============================================================
r8d&gjb^A 下面这两项下面如果有键,也可能有问题
PqVG [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] d9n<Mz
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] juWz|Kqy ============================================================ g\%R"$jgT 下面的三项如果有除了杀毒软件之外的键,很可能有问题 .uI U=-c [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] SX1~j#x U
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] GH-/>L&_e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] /;1Z1^],G ============================================================
e[(pY7nUx# 可信项目(即有N/A,但可以确定没问题的项目):
$r">(HNa' [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ocpUqD
<load> <> [N/A] [ay Z]n!F <run> <> [N/A]
<1tvfG [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] &Zb4p1
<AppInit_DLLs><> [N/A] |]fc7
j&;%8[c] 如果“<>”里面没有东西,以上几项可以排除 G<*f. a>qV*6u %systemroot%\system32\shmgrate.exe qONc{5xJ 这个进程,虽然有些网站上说是病毒,但是貌似只有新版的SREng才能扫出来这个,本人目前可以确定这个进程没问题 nl ol*~8O
%ProgramFiles%\Outlook Express\setup50.exe f St7
这个进程也可以确定没问题 1C,6Y3KK 要注意路径!! d _mJst
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k> [N/A] nzP[%Z*; 这一项也可以排除 m(uHxM<] ============================================================ Wb&_iR*JU 还有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,如果通过数字签名,在公司名称的前面会有个(Verified) P}r+
gH3O)h 启动文件夹,就是你点“开始”——“程序”——“启动”那里面的文件,一般不会有什么问题(因为大部分病毒没那么弱智……放在这里,一般的菜鸟都能看出来……),但也不能掉以轻心!! Jb.Y0Du 54J`q\&sb 举几个病毒的例子: 9Dfhr$b 1QeMf2 <MsServer><msfir80.exe> [N/A]
{bg=@cG 很明显的,有 [N/A],一下就注意到这个了。
`~ " P
fGS[J\Va <x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl
132.exe> [N/A]
QH| :$y 这个有点难度,注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1,正常的应该是两个字母l(rundll32.exe)。
pWC83)mG 7Tnf*4h,)D <4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> []
pUT`6:Dv; 这个和上面的那个是一个类型的,这个程序的名称一般人都能看出来有问题……还没有公司信息,键名也很奇怪。
QH)zy /*\Y`PDy 上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的
Rt#`U7. }G.qvPKN8 这两个有点特殊:
57(txEM|y <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> []
jgdao[X <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A]
hGQ+'n. rSVj>+Ot? 这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,所以是病毒,删掉。
f\`^(= ABRRh$2 Q 还有个特殊的:SYSEXPLR.EXE这个程序,如果在超级解霸的目录下(比如HeroV8),那么就可以排除……如果在别的地方,可能就是冰河木马 ;{M*sy I[@eU 这一项就介绍到这里啦~~