我们首先来看日志的开头部分(以kuing的日志为例,本人应该不会介意吧……):
T)I20IK <K^C(')D Quote:
[CODE] o?0pCXWFJ
2007-07-07,22:56:31 Jp>7})w
System Repair Engineer 2.5.16.900 ?fCYn
Smallfrogs (http://www.KZTechs.com) {-$]bq3
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能 W' #tDR.
以下内容被选中: 8\ELCDB;i=
所有的启动项目(包括注册表、启动文件夹、服务等) s'H2l #]n
浏览器加载项 8PbhShA
正在运行的进程(包括进程模块信息) `p'1eT
文件关联 'bJwiLy
Winsock 提供者 FMsx2]
Autorun.inf q*Qwak,v~
HOSTS 文件 A2Q_rwv=
进程特权扫描 t>6<<\v
v!)$!6BA 这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。
G8elY*`H #^^WQ]5 现在我们来看这部分:
9k_DwRk 5] etVGrq Quote:
启动项目 S|_#V6\
注册表 %O9R;$ (
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] v/D:u8
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] zW|}A)~(2
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ?kUOvM$R
<load> <> [N/A] 0&MN3>A'B
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] $H4.[tbE
<igfxtray><C:\WINDOWS\system32\igfxtray.exe> [(Verified)Microsoft Windows Publisher] $G!dTiX'
<igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher] &,_?Z_
<igfxpers><C:\WINDOWS\system32\igfxpers.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher] HP3S/\OKt
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] "O)+iqx
<RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.] [
gu>'w
<runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup> [Beijing Rising Technology Co., Ltd.] ;C$H~#kK
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] wE*wur)@
<KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.] HoVX6Fx
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] _jznUJ
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher] ?8mcvi,Jp
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher] L+s}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] P8mV@2
<AppInit_DLLs><> [N/A] FU<w!`
]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] r0gx!/$v
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] pFAXqg{s
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] SaUy6.BZ
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.] XfS~!kV
<{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll> [Beijing Rising Technology Co., Ltd.] []l35FyB
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] flG#_vV`)
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher] xn+U)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] ) tct
<WinlogonNotify: igfxcui><igfxdev.dll> [(Verified)Microsoft Windows Hardware Compatibility Publisher] }SG3c&(X|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C_<CyZb,$
<WinlogonNotify: WgaLogon><WgaLogon.dll> [(Verified)Microsoft Corporation] ,.UN}[
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] w$PA-yO`
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A] qbFsPBGy,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] cr2hWdKu
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A] 0zm@8K)<e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] _qT2%x
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A] ?Rnj:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] )Dcr->|bt
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A] ve>s4D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] "2?f?/"
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher] -
kK: Oq;@
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] 5>c,Ivc
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher] .LTQ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] Ly*0j
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher] "Na,
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] N( 1KwBe]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A] *OHH*uP
W]{n TU
================================== 2F
Wa%<
启动文件夹 ~R9];WYCG
N/A {!pMWrJ`
>+D^*U;G x(\QkX 这段日志里可以看出,你电脑开机的时候都会运行哪些程序。
eG`*} {j 粉色字样的是是
注册表项。也就是这个程序在注册表中的位置。如果是病毒,可以通过开始——运行输入regedit,查找该键值来取消病毒的自动启动。
Q 16>33[[ 注册表项下一行,“< >”里面的,前面的是这个注册表项的
键,后面的是这个键的
键值。再后面,是程序的
公司版本信息。如果通过了数字签名验证,在Microsoft的前面会有
(Verified) 的字样。
CVR$`)-_ PS:颜色是我自己加上的。颜色只弄了一部分,其他的类推,不用我全弄上了吧……
>e,U$r@ ;Y=;9kf> cKJ&<g 分析方法:对于新手来说,最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块,(*.exe、*.dll),可以上
www.google.cn去搜索一下,时间长了,积累些经验,下次再看到这些进程的时候,心里就有点底啦!注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件(如ATi催化剂、音效管理员)等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程,后面的公司信息是[N/A],这个很有可能就是病毒!!
0)o
by]1 1ug;b %systemroot%是系统安装目录,如果是Win98或者XP之类的,对应目录一般为C:\WINDOWS\;如果为WinNT或者2000,对应目录一般为C:\WINNT I%zDf}n ============================================================
yX8-F;:( 一般的启动程序都是在下面这些项里面了,要好好分析哦~~对于不确定的进程,到www.google.cn里面查。 D
,91L}
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ooRCyv35
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 0<7(Q~A[
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] _[ 1PTTt.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] %aNv
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] nJ@y4{&>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] iCWep"FEa
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] ;+9R+
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] xJ9 2:\W0e
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] ,9g/ih.V
============================================================ lDQ\P8 k%
下面这四项要注意,如果日志里面的和这四个不一样,那么很可能就有问题
T'i0IZ5- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] WZSdHYW
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
zW8@j9 <Userinit><C:\WINDOWS\system32\userinit.exe
,> [(Verified)Microsoft Windows Publisher](注意那个逗号!这个逗号不可省略)
QCnB._m8" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] CPcYS-+
<AppInit_DLLs><> [N/A]
n3'ap`Q(r [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] rgoOgKU9 <UIHost><logonui.exe> [Microsoft Corporation]
*]--0Tu ============================================================
%oN!bf*[p 如果有下面的这两项,“<>”里面有进程,很可能有问题
]/@C)bxN- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] w,lbR2>N
<load><> [N/A]
3eD` ;M9 <run><> [N/A]
EtH*$p28S ============================================================
|@="&B> 下面这两项下面如果有键,也可能有问题
?wz?Bg'7 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] -ojAV/jFk
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] S$xxSXLl ============================================================ xXXA>yVh 下面的三项如果有除了杀毒软件之外的键,很可能有问题 ~m&N4DbldR [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] -,|SR
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 0g34Jimiy
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] ]fRq>Sa ============================================================
wSF-yOn: 可信项目(即有N/A,但可以确定没问题的项目):
k
jgx4 [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ,}1=SBV4f
<load> <> [N/A] Rkj`)szo <run> <> [N/A]
7/]&}&X.Xa [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] 1=|cJ_
<AppInit_DLLs><> [N/A] jYPl !5VT
~lbKb$p 如果“<>”里面没有东西,以上几项可以排除 kkiZ^RV'!N |5%YAf9" %systemroot%\system32\shmgrate.exe 3S(.(yG2 这个进程,虽然有些网站上说是病毒,但是貌似只有新版的SREng才能扫出来这个,本人目前可以确定这个进程没问题 Ew9J`+ZU
%ProgramFiles%\Outlook Express\setup50.exe Y:7so,; w 这个进程也可以确定没问题 >5jBcxLp 要注意路径!! [`Yyj BN/\
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k> [N/A] (rG?o=g2 这一项也可以排除 l|iD7Q]-: ============================================================ -
PP C 还有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,如果通过数字签名,在公司名称的前面会有个(Verified) F {'HkG=
A>1+Cg1a t 启动文件夹,就是你点“开始”——“程序”——“启动”那里面的文件,一般不会有什么问题(因为大部分病毒没那么弱智……放在这里,一般的菜鸟都能看出来……),但也不能掉以轻心!! <; ,^Dr] /k+;\5(Hd< 举几个病毒的例子: Kie"|2}W }ss ?>Vx <MsServer><msfir80.exe> [N/A]
M9xl 很明显的,有 [N/A],一下就注意到这个了。
Q'uM8F= ums>YV1Rd <x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl
132.exe> [N/A]
~7Osb"2\ 这个有点难度,注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1,正常的应该是两个字母l(rundll32.exe)。
%0}"p ZX/H:b <4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> []
f FqFrGkT 这个和上面的那个是一个类型的,这个程序的名称一般人都能看出来有问题……还没有公司信息,键名也很奇怪。
)-eOX/:M f=oJ#\h 上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的
Rih,V2+}V C/p~_kIR 这两个有点特殊:
?d/*anE <{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> []
/\}& <{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A]
a(0# Wqb Ki<3
F 这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,所以是病毒,删掉。
"7O+'1VE /{W)uw<& 还有个特殊的:SYSEXPLR.EXE这个程序,如果在超级解霸的目录下(比如HeroV8),那么就可以排除……如果在别的地方,可能就是冰河木马 [E$6%9^qC -]Rb'9h@A 这一项就介绍到这里啦~~