作者声明 lt4~\Q  
y{&2YK^cu  
本帖已经发布到多个论坛，包括（按发布先后顺序）： Hs"95*T)  
==== Eefb{m  
人民教育出版社论坛【精】：http://bbs.pep.com.cn/viewthread.php?tid=303935&fromuid=422027 !Ygc8(@  
爱好者论坛（CFAN）【精】：http://bbs.cfan.com.cn/viewthread.php?tid=601475 C'cWQv;@5  
Avira中国使用者服务论坛：http://www.avira.org.cn/bbs/viewthread.php?tid=7264 #{2$',  
电脑报论坛（数动联线）【精】：http://bbs.cpcw.com/viewthread.php?tid=1254228 9<w}J0{H  
==== u, h@  
原创作品，欢迎指点！转载请注明出处，谢谢合作 e8.-0  
==== ({R*CP0Fg  
前言 :5>YLWCB  
hqz: rJ   
　　我接触SREng的时间并不长。第一次接触SREng，是在今年4月。那时我们家才刚刚上网。有一天我上网的时候，发现瑞星弹出了好几条修改注册表的信息，开始没注意，允许了几个，后来才感觉不对劲……然后在任务管理器里面发现了有个mppds.exe。尽管当时我的水平并不是很高，但是直觉告诉我这个进程有问题。所以我就用瑞星的卡卡扫了个日志，发到了卡卡论坛上。在那里，我第一次接触到了SREng这个词…… @H!#,U&x  
vJFQ/[,  
附：帖子地址http://forum.ikaka.com/topic.asp?board=28&artid=8290806 +d680I  
我现在再看那个日志，我自己也能发现所有的问题了。 (0d`RE77g  
G(X3 ,7^  
　　我的问题解决之后，我就对SREng这个软件产生了兴趣：扫个日志就能解决问题！后来，我加入了水树雨下签名里的（现在没有了）反病毒交流群，在那里，我和他们学到了好多东西，经验也一点点地丰富起来了。 u9miOeYo~  
　　我还看过一个SREng日志的分析教程，对我的帮助也比较大。附上地址： uCv/hnq$t  
http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html <xvM~]!J  
.[p_'2gi  
　　下面我就从最基本的开始，教大家怎样看SREng日志。看完这个就会知道：其实分析日志是一件很简单的事！千万不要被这么长的篇幅吓到哦！希望大家有耐心看完！  我的目的就是，让所有看过的人都能够自己分析SREng日志！呵呵~~ :]Z6e1Fia#  
IOeLVb  
PS：在这里我附上了kuing、竹风铃和我自己的日志。所以篇幅会显得特别长。其实如果把所附日志去掉，篇幅就会很短了……所以一定要有耐心…… }!w~A`pzD  
>=%?
2XW  
另：在写《浏览器加载项 分析方法》的时候，得到了ho121的帮助，在此提出感谢~~ v;jVxb4
 
~"`uL-]=[  
Np\/Juu  
　　如果发现病毒，先别着急删，请看7楼的清除方法

　　首先，请到这里下载最新版的SREng： Uj.CHH~7=  
http://download.kztechs.com/files/sreng2.zip（地址没变，还是以前的地址。不过内容变了哦！如果用迅雷，一定要重新下载一遍！） PA}]P'ui  
o$S@b  
　　解压，运行其中的SREngPS.exe。如果无法运行或者打开后自动关闭，可以改名为123321.com或者abcdef.scr或defedfsd.pif（文件名自己随便弄，但【后缀名】不要改）最好是以管理员权限帐户运行，这样扫描的效果最好。 K|?yx<  
@Pi$(ox1  
　　如果为英文界面，单击菜单栏里的Tools——Options，在弹出窗口里的Please select a lauguage下面的下拉三角中选择Simplifed Chinese，点Ok，重启程序就变成中文的了。如图： q#i`25  
|ZF4%  
jM5")KO  
G1&*0sF\o  
gN5t^oF@  
　　打开SREng后，屏幕右下角有可能出来这个通知，不用管它，直接点“关闭”。因为这很可能是杀毒软件进行的正常修改，再说如果扫描个日志，这项信息也会出现在日志中，千万不要自行修复入口点错误！！ iLjlN^0Z]  
K<DTn&O  
<w4eXp  
L}-[g  
　　下面要开始扫描了。扫描之前最好能够把QQ、迅雷、IE等一切不必要的程序关掉（如果是特定软件出了问题，扫描的时候要把那个软件打开）。准备好之后，点SREng界面内的“智能扫描”，把上面的那几项全部选中，然后选择下面的“检查进程模块的数字签名”（防止一些病毒用了假的数字签名）。最后点“扫描”。 9;3;v29n  
a=4BOLq@  
^ZdOmOp\  
}/r3E5]&  
新版SREng的扫描速度比较快，据说要比旧版的速度提高三倍以上。下图是新版SREng的扫描界面，是不是一目了然呢？ |N|-)@7  
_/@uSB/  
F5yhCP#u  
:NmTv~a&9  
扫描结束后，单击“保存报告”，会保存为一个文件名为SREngLOG.log的日志文件。用记事本打开，按CTRL+A、CTRL+C全选复制，然后可以把这个日志粘贴（CTRL+V）到论坛上面。 *\gxF!-kuG  
MRtv!X7;J  
HnRH,;  
',UxTxKr  
　　我要教大家的并不是怎么把日志传到论坛上面让别人帮忙看，而是自己去分析！看着那一大堆密密麻麻的英文字母和符号，是不是心里一点底也没有？呵呵，不要紧，刚开始都会这样的，等熟悉了就好了。下面我就一段一段地把SREng日志的分析方法教给大家！

　　我们首先来看日志的开头部分（以kuing的日志为例，本人应该不会介意吧……）： T)I20IK  
<K^C(')D  

Quote:

[CODE] o?0pCXWFJ  
2007-07-07,22:56:31 Jp>7})w  
System Repair Engineer 2.5.16.900 ?fCYn  
Smallfrogs (http://www.KZTechs.com) {-$]bq3  
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能 W' #tDR.  
以下内容被选中： 8\ELCDB;i=  
    所有的启动项目（包括注册表、启动文件夹、服务等） s'H2l #]n  
    浏览器加载项 8PbhShA  
    正在运行的进程（包括进程模块信息） `p'1eT  
    文件关联 'bJwiLy  
    Winsock 提供者 FMsx2]  
    Autorun.inf q*Qwak,v~  
    HOSTS 文件 A2Q_rwv=  
    进程特权扫描 t>6<<\v  

v!)$!6
BA  
　　这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。 G8elY*`H   
　　 #^^WQ]5  
　　现在我们来看这部分： 9k
_DwRk  
5] etVGrq  

Quote:

启动项目 S|_#V6\  
注册表 %O9R;$(  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] v/D:u8  
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher] zW|}A)~(2  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ?kUOvM$R  
    <load> <>  [N/A] 0&MN3>A'B  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] $H4.[tbE  
    <igfxtray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Microsoft Windows Publisher] $G!dTiX'  
  <igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher] &,_?Z_  
    <igfxpers><C:\WINDOWS\system32\igfxpers.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher] HP3S/\OKt  
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.] "O)+iqx  
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.] [ gu>'w  
  <runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup>  [Beijing Rising Technology Co., Ltd.] ;C$H~#kK  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] wE*wur)@  
    <KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.] HoVX6Fx  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] _jznUJ  
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher] ?8mcvi,Jp  
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher] L+s
}  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] P8
mV@2  
    <AppInit_DLLs><>  [N/A] FU<w!` ]  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] r0gx!/$v  
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher] pFAXqg{s  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] SaUy6.BZ  
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.] Xf
S~!
kV  
    <{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll>  [Beijing Rising Technology Co., Ltd.] []l35FyB  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] flG#_vV`)  
    <WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll>  [(Verified)Microsoft Windows Component Publisher] xn+U)  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] )tct  
    <WinlogonNotify: igfxcui><igfxdev.dll>  [(Verified)Microsoft Windows Hardware Compatibility Publisher] }SG3c&(X|  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] C_<CyZb,$  
    <WinlogonNotify: WgaLogon><WgaLogon.dll>  [(Verified)Microsoft Corporation] ,.UN}[  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] w$PA-yO`  
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A] qbFsPBGy,  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] cr2
hWdKu  
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A] 0zm@8K)<e  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] _qT2%x  
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A] ?Rnj:  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] )Dcr->|bt  
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A] ve>s4D   
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] "2?f?/"  
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher] - kK: Oq;@  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}] 5>c,Ivc  
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher] .LTQ  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] Ly*0j  
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher] "
Na,  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] N(1KwBe]  
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A] *OHH*uP  
W]{n TU  
================================== 2F Wa%<  
启动文件夹 ~R9];WYCG  
N/A {!pMWrJ`  

>+D^*U;G  
x(\QkX  
　　这段日志里可以看出，你电脑开机的时候都会运行哪些程序。 eG`*}{j  
　　粉色字样的是是注册表项。也就是这个程序在注册表中的位置。如果是病毒，可以通过开始——运行输入regedit，查找该键值来取消病毒的自动启动。 Q 16>33[[  
　　注册表项下一行，“< >”里面的，前面的是这个注册表项的键，后面的是这个键的键值。再后面，是程序的公司版本信息。如果通过了数字签名验证，在Microsoft的前面会有(Verified) 的字样。 CVR$`)-_  
　　PS：颜色是我自己加上的。颜色只弄了一部分，其他的类推，不用我全弄上了吧…… >e,U$r@  
;Y=;9kf>  
cKJ&<g  
　　分析方法：对于新手来说，最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块，（*.exe、*.dll），可以上www.google.cn去搜索一下，时间长了，积累些经验，下次再看到这些进程的时候，心里就有点底啦！注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件（如ATi催化剂、音效管理员）等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程，后面的公司信息是[N/A]，这个很有可能就是病毒！！ 0)o by]1  
1ug;b  
%systemroot%是系统安装目录，如果是Win98或者XP之类的，对应目录一般为C:\WINDOWS\；如果为WinNT或者2000，对应目录一般为C:\WINNT I%zDf}n  
============================================================　　 yX8-F;:(  
一般的启动程序都是在下面这些项里面了，要好好分析哦~~对于不确定的进程，到www.google.cn里面查。 D ,91L}  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ooRCyv35  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 0<7(Q~A[  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] _[1PTTt.  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] %aNv  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices] nJ@y4{&>  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] iCWep"FEa  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] ;+9R+  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce] xJ92:\W0e  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx] ,9g/ih.V  
============================================================ lDQ\P8k%  
下面这四项要注意，如果日志里面的和这四个不一样，那么很可能就有问题 T'i0I
Z5-  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] WZSdHYW  
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher] zW8@j9  
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]（注意那个逗号！这个逗号不可省略） QCnB._m8"  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] CPcYS-+  
          <AppInit_DLLs><>        [N/A] n3'ap`Q(r  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] rgoOgKU9  
          <UIHost><logonui.exe>        [Microsoft Corporation] *]--0Tu  
============================================================ %oN!bf*[p  
如果有下面的这两项，“<>”里面有进程，很可能有问题 ]/@C)bxN-  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] w,lbR2>N  
          <load><>        [N/A] 3eD` ;M9
 
          <run><>        [N/A] EtH*$p28S  
============================================================ |@="&B>  
下面这两项下面如果有键，也可能有问题 ?wz?Bg'7  
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] -ojAV/jFk  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] S$xxSXLl  
============================================================ xXXA>yVh  
下面的三项如果有除了杀毒软件之外的键，很可能有问题 ~m&N4DbldR  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] -,|SR  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 0g34Jimiy  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] ]fRq>
Sa  
============================================================ wSF-yOn:  
可信项目（即有N/A，但可以确定没问题的项目）： k jgx
4  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] ,}1=SBV4f  
    <load> <>  [N/A] Rkj`)szo  
    <run> <>  [N/A] 7/]&}&X.Xa  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
1=|cJ
_  
    <AppInit_DLLs><>  [N/A] jYPl !5VT  
~lbKb$p  
如果“<>”里面没有东西，以上几项可以排除 kkiZ^RV'!N  
|5%YAf9"  
%systemroot%\system32\shmgrate.exe 3S(.(yG2  
这个进程，虽然有些网站上说是病毒，但是貌似只有新版的SREng才能扫出来这个，本人目前可以确定这个进程没问题 Ew9J`+ZU  
%ProgramFiles%\Outlook Express\setup50.exe Y:7so,; w  
这个进程也可以确定没问题 >5jBcxLp  
要注意路径！！ [`Yyj BN/\  
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [N/A] (rG?o=g2  
这一项也可以排除 l|iD7Q]-:  
============================================================ - PP C  
还有的病毒，公司名称会假冒微软的数字签名，不过在启动项目——注册表里面，如果通过数字签名，在公司名称的前面会有个(Verified) F {'HkG=  
A>1+Cg1a t  
启动文件夹，就是你点“开始”——“程序”——“启动”那里面的文件，一般不会有什么问题（因为大部分病毒没那么弱智……放在这里，一般的菜鸟都能看出来……），但也不能掉以轻心！！ <; ,^Dr]  
/k+;\5(Hd<  
举几个病毒的例子： Kie"|2}W  
}ss ?>Vx  
<MsServer><msfir80.exe>  [N/A] M9xl  
很明显的，有 [N/A]，一下就注意到这个了。 Q'uM8F=  
ums>YV1Rd  
<x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl132.exe> [N/A] ~7
Osb"2\  
这个有点难度，注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1，正常的应该是两个字母l（rundll32.exe）。 %0}"p  
ZX/H:b  
<4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> [] f FqFrGkT  
这个和上面的那个是一个类型的，这个程序的名称一般人都能看出来有问题……还没有公司信息，键名也很奇怪。 )-eOX/:M  
f=oJ#\h  
上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的 Rih,V2+}V  
C/p~_kIR  
这两个有点特殊： ?d/*anE  
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> [] /
\}&  
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A] a(0# Wqb  
Ki<3 F  
这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的，所以是病毒，删掉。 "7O+'1VE  
/{W)uw<&  
还有个特殊的：SYSEXPLR.EXE这个程序，如果在超级解霸的目录下（比如HeroV8），那么就可以排除……如果在别的地方，可能就是冰河木马 [E$6%9^qC  
-]Rb'9h@A  
这一项就介绍到这里啦~~

这里的服务和驱动，显示的是非Windows自带的第三方服务驱动。 +>Nt,I]@h  
粉红色的是服务或驱动的名称，红色的是状态，蓝色的是启动方式，橙色的为文件的路径，紫色的为公司名称信息。 7?2KbW-M{  
VT/_}]02  
[Human Interface Device Access / HidServ][Stopped/Disabled] oE#n$4j?  
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> 9axX%v1  
这个服务，如果在进程里面没有特殊项的时候，是可信的，不用管它。 i`j@fna[p  
如果发现有其他的公司名称为N/A的或者假冒微软的服务和驱动，还有的服务驱动名称很奇怪，这样用Google和百度都搜索一下，搜索不到就有问题了。 aR ~D.P  
再引用下kuing的日志…… 6&J36&B  

Quote:

f?QKsLrQ  
服务 p$Yv Z<B  
[Human Interface Device Access / HidServ][Stopped/Disabled] FP%j5x)  
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> 8c|%YJhh  
[Rising Proxy  Service / RfwProxySrv][Stopped/Manual Start] jjXsi^~p  
  <c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.> `Vs A I  
[Rising Personal Firewall Service / RfwService][Running/Auto Start] {5Wi8mX  
  <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.> PVRcFl9Cs  
[Rising Process Communication Center / RsCCenter][Running/Auto Start] r@m2C,6  
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.> (?
Ds5JB  
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
dl!#  
  <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> <-4G@|1Y  
================================== [f~iuw  
驱动程序 >%+tfq}E1  
[2310_00 / 2310_00][Stopped/Boot Start] 5vg9oTtS9  
  <\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.> 2P)g  
[3WAREDRV / 3WAREDRV][Stopped/Boot Start] &<g6p2j)6  
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A> ZW;>%dU\Q  
[A320RAID / A320RAID][Stopped/Boot Start] m
% ?hJh  
  <\SystemRoot\System32\BIRD\a320raid.sys><Adaptec, Inc.> /k)w@ #w  
[AAC / AAC][Stopped/Boot Start] 6yPf%1&!s  
  <\SystemRoot\System32\BIRD\aac.sys><Adaptec, Inc.> aDW6N#%  
[AACSAS / AACSAS][Stopped/Boot Start] tJ=VP{`_"  
  <\SystemRoot\System32\BIRD\aacsas.sys><Adaptec, Inc.> r4[+Uag  
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start] p`YJ#jw@u  
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.> WG/Ro6c  
[AmdK8 Compatible Device / AmdK8][Stopped/System Start]  rz7a   
  <System32\BIRD\amdk8.sys><Advanced Micro Devices> (UvT#@b>  
[ARCM_X86 / ARCM_X86][Stopped/Boot Start] ,RGn^.aR5  
  <\SystemRoot\System32\BIRD\arcm_x86.sys><ARECA  Technology Corporation> 4( Z2c  
[Rising TDI Base Driver / BaseTDI][Running/Auto Start] -i5_!GY;  
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.> 7 |\ ><~P"  
[BCHTSW32 / BCHTSW32][Stopped/Boot Start] R4D_3(  
  <\SystemRoot\System32\BIRD\bchtsw32.sys><Broadcom Corporation> vgd62<TF  
[dpti2o / dpti2o][Running/Boot Start] ;nv5cXLQ  
  <\SystemRoot\System32\BIRD\dpti2o.sys><Microsoft Corporation> <.^f
L7bO  
[ExpScaner / ExpScaner][Running/Auto Start] q._dp~%p  
  <\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><> p*v9pN^i  
[FASTSX / FASTSX][Running/Boot Start] 2zd*Y\"$  
  <\SystemRoot\System32\BIRD\fastsx.sys><Promise Technology, Inc.> \vv{t{.  
[FASTTRAK / FASTTRAK][Running/Boot Start] ,]cce 7-  
  <\??\C:\WINDOWS\system32\drivers\hjg47ql8p.sys><N/A> D{r]iI  
[HookCont / HookCont][Running/Auto Start] *ZB0 Ph4f  
  <\??\C:\PROGRAM FILES\RISING\RAV\HOOKCONT.sys><Rising> MtHFu B  
[HookReg / HookReg][Running/Auto Start]
Mz:Ph|  
  <\??\C:\PROGRAM FILES\RISING\RAV\HookReg.sys><> VeIYLLW  
[HookSys / HookSys][Running/Auto Start] ;gB;V5co  
  <\??\C:\PROGRAM FILES\RISING\RAV\HookSys.sys><Rising> -;$:NV~?J  
[HookUrl / HookUrl][Running/Auto Start] |]b3uD~cd  
  <\??\C:\Program Files\Rising\Rfw\HookUrl.sys><Beijing Rising Technology Co., Ltd.> H{pm5^K
B  
[HPT3XX / HPT3XX][Stopped/Boot Start] *Ee:8"#A:  
  <\SystemRoot\System32\BIRD\hpt3xx.sys><HighPoint Technologies, Inc.> I;WwB/7Y  
[ialm / ialm][Running/Manual Start] ijbwY)5  
  <system32\DRIVERS\ialmnt5.sys><Intel Corporation> |bx^49kI2  
[IASTOR / IASTOR][Running/Boot Start] emTKK'b  
  <\SystemRoot\System32\BIRD\iaStor.sys><Intel Corporation> +\?Id  
  <\SystemRoot\System32\BIRD\m5289.sys><ULi Electronics Inc.> /mHGef\EL  
[MEGAIDE / MEGAIDE][Running/Boot Start] -vFvmSf:9n  
  <\SystemRoot\System32\BIRD\MegaIDE.sys><LSI Logic Corporation.> ]0 iks|  
[MEMSCAN / MEMSCAN][Running/Auto Start] M(u@b{d  
  <\??\C:\PROGRAM FILES\RISING\RAV\MEMSCAN.sys><瑞星软件有限公司> EC]rHCu  
[mProcRs / mProcRs][Running/Auto Start] wg^ 2&!#  
  <\??\c:\program files\rising\rfw\mProcRs.sys><Beijing Rising Technology Co., Ltd.> +7Lbh,uW  
[mraid35x / mraid35x][Running/Boot Start] eFb\YpB  
  <\SystemRoot\System32\BIRD\mraid35x.sys><LSI Logic Corporation> W_EoL=Q w  
[NFRD960 / NFRD960][Stopped/Boot Start] 7p?)0,  
  <\SystemRoot\System32\BIRD\nfrd960.sys><IBM Corporation> %lr49]g+O  
[Netgroup Packet Filter / NPF][Stopped/Manual Start] ~Hlg3O  
  <system32\drivers\npf.sys><Politecnico di Torino> g^QH\;r  
[npkcrypt / npkcrypt][Running/Auto Start]  `Tln`YXg  
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.> zW-H?{sk)  
[nv / nv][Stopped/Manual Start] kW$mn5J  
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation> lDk!a.0J  
[NVATABUS / NVATABUS][Running/Boot Start] },/<]bF]y  
  <\SystemRoot\System32\BIRD\NVATABUS.SYS><NVIDIA Corporation> kwuo|eV`  
[PNP680R / PNP680R][Stopped/Boot Start] K g0X`.  
  <\SystemRoot\System32\BIRD\pnp680r.sys><Silicon Image, Inc> E)3a+MO  
[Direct Parallel Link Driver / Ptilink][Running/Manual Start] C@I*P2g6s  
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.> uZMG#)f  
[ql1080 / ql1080][Running/Boot Start] FGeRl,=  
  <\SystemRoot\System32\BIRD\ql1080.sys><QLogic Corporation> ? Vt.^F  
[ql12160 / ql12160][Running/Boot Start] $.X9+=.  
  <\SystemRoot\System32\BIRD\ql12160.sys><QLogic Corporation> #+rbX<  
[ql1280 / ql1280][Running/Boot Start] BRcli8c-  
  <\SystemRoot\System32\BIRD\ql1280.sys><QLogic Corporation> tSwj:f$j  
[RAIDSRC / RAIDSRC][Stopped/Boot Start] a66T?VLwO  
  <\SystemRoot\System32\BIRD\raidsrc.sys><Intel/ICP> @=+5N)Fk  
[RR232X / RR232X][Stopped/Boot Start] 9O zs
 
  <\SystemRoot\System32\BIRD\rr232x.sys><HighPoint Technologies, Inc.> 8T+~  
[RsAntiSpyware / RsAntiSpyware][Running/Boot Start] QR9:6Vm   
  <\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising Technology Co., Ltd.> of'c`)8t%1  
[RsFwDrv / RsFwDrv][Running/Auto Start] Diegvd^+x  
  <\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.> roE9}Q  
[RsNTGDI / RsNTGDI][Running/Boot Start] Q#J&}bh\Q  
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.> LVKHUy:QS0  
[RSPPSYS / RSPPSYS][Running/Auto Start]  gxCEC?q  
  <\??\C:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><Rising> w$mw:?  
[Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver / RTL8023xp][Running/Manual Start] dm[uS\v  
  <system32\DRIVERS\Rtlnicxp.sys><Realtek Semiconductor Corporation> cDOh=6@  
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start] >pO|ydf  
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation> MDas"8Avvj  
[S150SX8 / S150SX8][Running/Boot Start] ag%sH+|ac  
  <\SystemRoot\System32\BIRD\S150sx8.sys><Promise Technology, Inc.> |Q{
x_o  
[Secdrv / Secdrv][Stopped/Manual Start] X@`@'_3L  
  <system32\DRIVERS\secdrv.sys><N/A> IvLkOM  
[SI3112 / SI3112][Stopped/Boot Start] %/zhR&u  
  <\SystemRoot\System32\BIRD\SI3112.sys><Silicon Image, Inc.> )[,#W#x.  
[sym_u3 / sym_u3][Running/Boot Start] 0z7P =N;S  
  <\SystemRoot\System32\BIRD\sym_u3.sys><LSI Logic> bP&*38nH  
[TwoTrack Compatible Device / TwoTrack][Stopped/Manual Start] c900!
p  
  <System32\DRIVERS\TwoTrack.sys><IBM Corporation> sK^YJf?8~  
==================================

5j^gubmARy  
zP45wPZ5t  
我把BIRD的驱动省略掉了好多，否则篇幅会是现在的n倍…… II__jx{  
如果驱动程序的路径是\SystemRoot\System32\BIRD\，完全可以无视掉…… <Utmf3cyL  
$=:cq~k#D  
[Secdrv / Secdrv][Stopped/Manual Start] 4o[
]h"  
  <system32\DRIVERS\secdrv.sys><N/A> 8na}&=Y u8  
~b@`(uIav  
[klif / klif][Running/System Start] Nfsnsz  
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab> >\ ,ZI  
这两个驱动程序都是可信的，虽然第二个有时候可能显示为有<N/A>，但大家也不用去管它，注意路径就可以了。 0z_fj'0  
有时候会出现双驱动的情况，要格外注意！双驱动就是在一个路径下，同时出现两个文件名，文件名之间用空格隔开。这样的一定要看准啦！！

Hijackthis的作用在这里就显示出来啦！对应hijackhtis的02、03、08、09、016项，可以用 Hijackthis辅助分析，注意假冒假冒microsoft和macromedia的项 W@IzVur?y?  
dn3-ow  
Hijackthis的使用及分析方法可以看人教论坛Full-Moon版主的置顶帖。 'Hd4,NT8b  
;QUKnMC
 
不过要讲的是SREng日志的分析方法，这一项也不能略过…… lb]1<K.(  
:v/~yG/  
这次引用下竹风铃的日志…… gph.738  
Cp$$<yj8  

Quote:

Wv=y\=T23  
浏览器加载项 qXM#:Y~d-  
[Thunder Browser Helper] n@
3) sq  
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> 1Ni YpGH:  
[AcroIEHlprObj Class] R_<Q&>z   
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated> O;U#4"gjf  
[启动迅雷5] xnm00L'  
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <D:\迅雷\Thunder.exe, Thunder Networking Technologies,LTD> zGnO1lY=  
[豪杰超级解霸V8] -\0/ROev}  
  {367E0A21-8601-4986-9C9A-153BF5ACA118} <D:\豪杰超级解霸V8\STHSDVD.EXE, N/A> w
QJtnS<"  
[信息检索(&R)] q{<2@c^l  
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation> %&-m~J4  
[Windows Genuine Advantage Validation Tool] D_-I3S"  
  {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation> $:<j%C  
[Tencent Safety Online Base Module] 3xF v#  
  {C09B522F-8AED-4E21-A65C-DC1AB652BAEE} <C:\WINDOWS\DOWNLO~1\TSOBase.ocx, Tencent Corporation> %YC$9  
[ScienceWord Control 5.0] BDE"_r  
  {C29E7AB7-8C79-421A-AB75-0AE00E848C2D} <C:\WINDOWS\system32\SCIENC~1.OCX, Novoasoft Corporation> W
-NQy  
[Shockwave Flash Object] )clvRC}&  
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.> km497I  
[CPasswordEditCtrl Object] r-[eN[  
  {E787FD25-8D7C-4693-AE67-9406BC6E22DF} <C:\WINDOWS\system32\qqedit\qqedit.dll, 腾讯科技（深圳）有限公司> aB-]q'#s  
[Thunder Browser Helper] $7VFX7Y.  
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> ESOu 0@M!  
[AcroIEHlprObj Class] _+l$D-  
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated> WX~(vF<  
[HTML Document] 1d9)wt5Y  
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A> &Hc_3-$-  
[Windows Media Player] c#640Wd  
  {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> kc{>;1?AIp  
[Thunder Browser Helper] 6vNj!E  
  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD> 'AmaqPdb  
[SearchAssistantOC] 4e|qJ5  
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A> &)Ec.R8qa'  
[AUDIO__MP3 Moniker Class] - .4,C\  
  {CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> L
y3f;X  
[VIDEO__X_MS_ASF Moniker Class] 89zT%K-  
  {CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation> _ q#kKB  
[Shockwave Flash Object] 0_wCN6KF  
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.> t
a[O(  
[&使用迅雷下载] pQ_ ~W_1  
  <D:\迅雷\Program\geturl.htm, N/A> >C9{If;r  
[&使用迅雷下载全部链接] x@/$`Q  
  <D:\迅雷\Program\getallurl.htm, N/A> :F;H})  
[上传到QQ网络硬盘] 'aO?^Pi/#  
  <E:\Q\AddToNetDisk.htm, N/A> a=~jf  
[导出到 Microsoft Office Excel(&X)] &Lw9g nJL!  
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A> A1rA?h4  
[添加到QQ自定义面板] 9Y>@o7:  
  <E:\Q\AddPanel.htm, N/A> mNMH$%;`5  
[添加到QQ表情] $!)XZzW4  
  <E:\Q\AddEmotion.htm, N/A> 3ctbcA[<  
[用QQ彩信发送该图片] XIh)}a  
  <E:\Q\SendMMS.htm, N/A> % b"P,  
[豪杰超级解霸V8实时播放] Uy'?,[f=  
  <D:\豪杰超级解霸V8\MPURLGET.HTM, N/A> +<3#l2  
xXs3PF5u  
==================================

UTEuoYr4^  
粉色的是浏览器加载项名（也就是常说的BHO），蓝色部分是CLSID（有的BHO没有CLSID），一般每一种BHO都有唯一的CLSID，否则可能会有冲突，不用去分析。橙色部分是文件路径，紫色部分为公司名称。 >".$bd  
YZF/?A
[B  
分析的时候还是要注意公司名称，对公司名为N/A的，Google搜索一下。 52 57DYAQ  
下列几个为排除项目： Y)6h~@-  
[HTML Document] [WPRt'1  
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A> N
Yd$1mBa  
[SearchAssistantOC] L?!/[LL?"Y  
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A> -0Ys$AP|  
还有最下面那几项QQ和迅雷的，如果文件路径没有问题，也可以排除。 SnJ2yvv  
.$c:uJ  
感谢ho121在我写这一项时对我的帮助！^_^

这一项可以说是整个日志的主体部分，一般来说也是最长的一部分！（有时驱动可能会更长）虽然分析这一项时需要注意的事项并不多，但是一定要细心，还要有耐心！不要错过任何一个可能是病毒的项目！ Tfq`O{e-F^  
fX7{m)LT  
这次用谁的日志好呢……这次就用我自己的好了……o(∩_∩)o...哈哈 gDDA ]7N9  

Quote:

L6v|!3?  
正在运行的进程 5_ek)w  
[PID: 712][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] ?GP1>h o  
[PID: 776][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] m,
2}^_  
[PID: 292][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] Wa)?jw>F  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] K{~&6nEy  
[C:\Syswm1j\Ghook.dll] [N/A, ] ^Sch<;hDb  
[PID: 320][e:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70] R;NiU$~  
[e:\program files\rising\rfw\RsGuiLib.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 33] hcG[ =)  
[e:\program files\rising\rfw\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5] m!V)HZ2;I  
[e:\program files\rising\rfw\RfwCtrl.dll] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 11] K8@a3
}Y  
[e:\program files\rising\rfw\RsXML.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2] [Tq~IfJ*  
[e:\program files\rising\rfw\PngDll.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5] /H^xTev2P  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] H>#aSC,E"  
[C:\Syswm1j\Ghook.dll] [N/A, ] b:ELNx a  
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] / 5_:+7Ky  
[PID: 1164][C:\Program Files\ATI Technologies\ATI.ACE\cli.exe] [ATI Technologies Inc., 1.11.0.0] H1(
kWU  
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] PPbj(C  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573] pqJ6"\Jq&H  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] ^=}eSpku$  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573] H:Q0yI3
F8  
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573] h#ogP&CU  
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ] ]Q!Gnjd  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573] E{[g.;p1  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573] q7+E%  
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573] w@>h0H]#  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ] xY8Dac7sC  
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465] m)OQ&=RGK  
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] w&MjR@|7SP  
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] .dx0/s4g  
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464] 9kw^(  
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970] mO%'#Rma?  
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573] 0,8iDTX  
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ] rPO mt  
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464] 6/H|4qG;6  
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573] 25Yw#;R  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ] ec5m+s  
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573] k~cfQ+o(R  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] a*oyM.x  
[c:\program files\ati technologies\ati.ace\cli.component.runtime.dll] [ATI Technologies Inc., 1.2.2114.465] J;oQ`O^Za&  
[c:\program files\ati technologies\ati.ace\aem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] o1`cv6p  
[c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll] [Microsoft Corporation, 1.1.4322.573] A9Q+1>  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_d3d144b1\system.drawing.dll] [N/A, ] CY1::|4;2  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] R-=3yRW=/  
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.runtime.dll] [ATI Technologies Inc., 1.2.2114.456] V-&=~PwB  
[c:\program files\ati technologies\ati.ace\cli.component.runtime.shared.dll] [ATI Technologies Inc., 1.2.2026.29946] /OZ,*'<rt  
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076] ~d0@ycO?  
[c:\program files\ati technologies\ati.ace\dem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] .k1AV]~@a  
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945] qN J"1  
[c:\program files\ati technologies\ati.ace\dem.graphics.demosinfo.dll] [ATI Technologies Inc., 1.2.2026.29947] jf7=t,:w  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573] X%CA.rxU^  
[c:\program files\ati technologies\ati.ace\dem.graphics.demosadapterinfo.dll] [ATI Technologies Inc., 1.2.2026.29960] [m/o$1L}  
[c:\program files\ati technologies\ati.ace\dem.graphics.dematiadapterinfo.dll] [ATI Technologies Inc., 1.2.2095.19505] d6jP.PS  
[c:\program files\ati technologies\ati.ace\dem.graphics.demdriversettings.dll] [ATI Technologies Inc., 1.2.2026.29947]  a%r:K}'  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573] @DB6:p  
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573] ^cn:5A.Z  
[PID: 1152][D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe] [Cyberlink Corp., 6.00.1027] p@U<"oy@G  
[D:\Program Files\CyberLink\PowerDVD\CLRCEngine2.dll] [CyberLink Corp., 3.2.2021 ] #A0aq&Ix  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] CHLt@  
[C:\Syswm1j\Ghook.dll] [N/A, ] 401`KaNl  
[PID: 1532][C:\Program Files\Rising\AntiSpyware\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 6] nzuWwq$0G  
[C:\Program Files\Rising\AntiSpyware\iep_ctrl.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 4] 4;|-L=  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] OpH0oH8>  
[C:\Syswm1j\Ghook.dll] [N/A, ] EQKfjkL  
[PID: 1844][C:\Program Files\MSI\Live Update 3\LMonitor.exe] [, 1, 0, 0, 3] y1]"&|t|"  
[C:\Program Files\MSI\Live Update 3\Lang\res804.dll] [N/A, ] *@&;`5I  
[C:\Program Files\MSI\Live Update 3\nvgpio.dll] [NVIDIA Corporation, 1.0.1.5] rtlIt ]!  
[C:\WINDOWS\system32\msdmo.dll] [, ] f,)y`%B  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] j+X>f
0v  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] %j)wu  
[C:\Syswm1j\Ghook.dll] [N/A, ] ky~s.LD}  
[PID: 1972][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5, 1, 0, 58] +bAYXlxE<  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] ?
!|c4g  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] AelkpJ  
[C:\Syswm1j\Ghook.dll] [N/A, ] %,wVJ1K  
[PID: 1960][C:\Syswm1j\svchost.exe] [N/A, ] e.Xv'<HL  
[C:\Syswm1j\Ghook.dll] [N/A, ] nMv /'i  
[PID: 556][C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe] [ATI Technologies Inc., 1.11.0.0] @8!_KyI]M  
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] 5JCpodHw  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573] N-~`$^r7  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] vT3IH.!P  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573] QmY^Nu  
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573] o)I
%<^h%  
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ] MxXRH+  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573] mIQdTe|}  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] .&<D=$N.  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573] hZC\ 9TS  
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573] e;]!c}Np  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ] WV7e9CV\o*  
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465] ;O<)Bb'e  
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] H(Gc?piT  
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944] f ;eMF  
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464] [QBThY`  
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970] |mA$b   
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573]  m{fP  
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ] Hy?Oa\;I  
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464] ,siK-p  
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573] x*zAuM  
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ] 'G. c_aCmA  
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573] {NsZgZ7  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] )(KIyP(G6  
[c:\program files\ati technologies\ati.ace\cli.component.systemtray.dll] [ATI Technologies Inc., 1.2.2114.432] T^+Hel"  
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076] Syg*sU  
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945] 4wf0L&)  
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573] TL57<i|Kl=  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573] ByFzT3o<  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573] YIEY&U  
[PID: 1400][E:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe] [Yahoo! Inc., 8,1,0,0] R
K]fr   
[E:\Program Files\Yahoo!\Messenger\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0] Ci~vcytwNo  
[E:\Program Files\Yahoo!\Messenger\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] 3uKZj lI  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] Cxi8g9;  
[C:\Program Files\Yahoo!\Shared\YbSkin2.dll] [Yahoo! Inc., 2006, 10, 11, 1] '- iR/\6  
[E:\Program Files\Yahoo!\Messenger\res_msgr.dll] [Yahoo! Inc., 8,5,0,1] Zi6`,  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] =]~a/\<d  
[C:\Syswm1j\Ghook.dll] [N/A, ] EMDspm{  
[PID: 2032][C:\WINDOWS\system32\wuauclt.exe] [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)] \)EVUZ1C  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] `l|[<W  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] r|g7tu0Z  
[C:\Syswm1j\Ghook.dll] [N/A, ] m1={LBrt  
[PID: 2468][E:\Program Files\Maxthon\Maxthon.exe] [Maxthon International Ltd., 1, 5, 9, 80] *bBNuTqty  
[E:\Program Files\Maxthon\maxzlib.dll] [ , 1, 0, 0, 2] 'bhI)*  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] .O;r+X68z]  
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573] lk"EA    
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CorperfmonExt.dll] [Microsoft Corporation, 1.1.4322.573] I6lQ1[oX?  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4] }VRoN<h  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] z,X>MQG!=,  
[C:\Syswm1j\Ghook.dll] [N/A, ] udH1r>W  
[E:\Program Files\Maxthon\Services\RealTime\real_time.dll] [, 1, 0, 0, 1] M* 9~45AZ  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] fN'@%8y/O  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorie.dll] [Microsoft Corporation, 1.1.4322.573] &T4F
6  
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll] [Microsoft Corporation, 1.1.4322.573] fP:w3OvQ  
[C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx] [Adobe Systems, Inc., 9,0,28,0] SZwA!^^  
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] wy^`v^H  
[PID: 3956][E:\Program Files\Rising\Rav\RsAgent.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 12] &|  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] t\qgnR3CK  
[E:\Program Files\Rising\Rav\RsCommX.dll] [rising, 18, 0, 0, 1] 5N6M>C+Y)u  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] &+yj6k  
[C:\Syswm1j\Ghook.dll] [N/A, ] QaR)Fp+O  
[PID: 4020][C:\WINDOWS\msagent\AgentSvr.exe] [Microsoft Corporation, 2.00.0.3424] 4Cv~s57=X  
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ] :mq)U@X:  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] 9k0$ ?sza)  
[C:\Syswm1j\Ghook.dll] [N/A, ] xU{B[6zb!_  
[PID: 2208][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] #&Vv#sX  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] NXXX:^  
[C:\Syswm1j\Ghook.dll] [N/A, ] \:
uV`a  
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll] [N/A, ] .@Fk? qyNX  
[e:\program files\rising\rfw\jifvpyyl.dll] [N/A, ] VZwv=es  
[D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 7.0.0.0] |IPy-^h  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] ;.l96;Z;I  
[C:\WINDOWS\system32\mppds.dll] [N/A, ] 3z#~MN  
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ] K` :-kU~  
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] o,X:f/6&%<  
[PID: 3780][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] r1P n&  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] QDf:LN\TC  
[C:\Syswm1j\Ghook.dll] [N/A, ] lp7<oejiQ  
[PID: 3624][C:\DOCUME~1\李牧原\LOCALS~1\Temp\Rar$EX02.359\SREng.EXE] [Smallfrogs Studio, 2.4.12.806] EfTomO o  
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] r-*z+
P<,  
[C:\Syswm1j\Ghook.dll] [N/A, ] 1!67d ob0!  
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] #T-(;|2B  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] UVXZWtT  
;/!^":#  
==================================

I]fUiV*  
http://bbs.pep.com.cn/viewthread.php?tid=90515 @=1)RS'
  
秋风树林的这个精华帖对于进程的名称已经讲得很明白了，对于进程名我就不想多说什么了。 ON,y0Ol!  
$64Y.*r#  
下面讲一下分析方法： *7` Fv  
PID:XXX：对于这一项，有兴趣的朋友可以参考一下10楼：什么是PID（进程标识符） Q7R
*iy  
一般来说，进程前面没有[PID:XXXX]的进程是安全的，不用去分析。 qDI+{  
我这个日志是用旧版的SREng扫描的，新版的SREng在进程前面的方括号[ ]里除了PID参数外，还有用户名。我的新版日志的方括号里面就是这样的： )2K,z>  
[PID: 932 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] ! nMRH`x  
[PID: 296 / 李牧原][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] VVUSOK<QQ  
nJS  
“PID:XXX/　”后面的SYSTEM和李牧原就是运行这项进程的用户名。SYSTEM说明这项进程为系统进程。 *C ho  
"mFWSAo$  
PID参数后面的，就是进程路径了。SystemRoot，如果是NT和2000系统，就是X:\WINNT，如果是XP之类的，就是C:\WINDOWS。再后面，就是公司信息。和前几项一样，如果是[N/A]或者假冒Microsoft Corporation，那么就是有问题的。 @25}CX  
tf~V,B#-  
进程名称的下几行（如果有的话）是进程加载的dll。一般来说，有[N/A]的就是有问题的。这时候应该用Google搜索一下这个dll，如果发现有问题或者根本搜索不到，就应该删除。有的dll名称是随机的n位字母数字，一般来说都是有问题的。如： [Y13M F  
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ] (~~jD  
[C:\WINDOWS\system32\mppds.dll] [N/A, ] |GhWf:(  
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ] Y9:eTXb  
l@M=W"  
对于Explorer.EXE加载的dll要格外注意！