瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 日志分析练习080812

lqqk7 - 2008-8-13 9:12:00

昨天忘记发了:default3:
:default6:

======================================
日志分析练习索引：
20080811
20080812
20080813
20080815
======================================

参考分析结果见：24楼，25楼，26楼，27楼，28楼

附件: 20080812_1.log

附件: 20080812_2.log

附件: 20080812_3.log

附件: 20080812_4.log

附件: 20080812_5.log

雨君009 - 2008-8-13 9:31:00

1.建议使用XDelBox删除以下文件

c:\progra~1\common~1\symant~1\symcdata\idsdefs\20070821.001\symidsco.sys
c:\windows\system32\drivers\secdrv.sys
%systemroot%\system32\shdocvw.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项删除：
[SYMIDSCO / SYMIDSCO] <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20070821.001\symidsco.sys>
[Secdrv / Secdrv] <system32\DRIVERS\secdrv.sys>

系统修复－－　浏览器加载项之如下项删除：
[SearchAssistantOC] <%SystemRoot%\system32\shdocvw.dll>

小狮子AA - 2008-8-13 10:34:00

日志1
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\D:\Program Files\QQ2007\npkcrypt.sys><INCA Internet Co., Ltd.>

正常吧
日志2
[aauxlpa / aauxlpa][Stopped/Boot Start]
<\SystemRoot\system32\drivers\aauxlpa.sys><N/A>
和上面那个
日志3
C:\WINDOWS\system32\nview.dll可疑
疑似为病毒或NV的东东
日志4[puckxri / puckxri][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\puckxri.sys><N/A>
[zalws / zalws][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\zalws.sys><N/A>
日志5
360mon.dll主角
典型木马群

雨君009 - 2008-8-13 10:40:00

1.建议使用XDelBox删除以下文件
c:\windows\system32\drivers\aauxlpa.sys
http://www.microsoft.com/china/index.htm
c:\windows\system32\drivers\aauxlpa.sys
%systemroot%\system32\shdocvw.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－驱动程序之如下项删除：
[aauxlpa / aauxlpa] <\SystemRoot\system32\drivers\aauxlpa.sys>
[aauxlpa / aauxlpa] <\SystemRoot\system32\drivers\aauxlpa.sys>

系统修复－－　浏览器加载项之如下项删除：
[微软] <http://www.microsoft.com/china/index.htm>
[SearchAssistantOC] <%SystemRoot%\system32\shdocvw.dll>

雨君009 - 2008-8-13 10:52:00

1.建议使用XDelBox删除以下文件
acnotify.dll
c:\windows\system32\tpkmpsvc.exe
c:\windows\system32\drivers\ibmbldid.sys
c:\windows\system32\drivers\tppwrif.sys
c:\windows\system32\drivers\tsmapip.sys
c:\windows\system32\fsutk.dll
c:\windows\downlo~1\iesign.ocx

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[WinlogonNotify: ACNotify] <ACNotify.dll>

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[IBM KCU Service / TpKmpSVC] <C:\WINDOWS\system32\TpKmpSVC.exe>

启动项目－－服务－－驱动程序之如下项删除：
[IBMTPCHK / IBMTPCHK] <\??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys>
[TPPWRIF / TPPWRIF] <System32\drivers\Tppwrif.sys>
[TSMAPIP / TSMAPIP] <System32\drivers\TSMAPIP.SYS>

系统修复－－　浏览器加载项之如下项删除：
[QuickFlash] <C:\WINDOWS\system32\fsutk.dll>
[QuickFlash] <C:\WINDOWS\system32\fsutk.dll>
[Iesign Control] <C:\WINDOWS\DOWNLO~1\iesign.ocx>
[Iesign Control] <C:\WINDOWS\DOWNLO~1\iesign.ocx>
[@btrez.dll,-4015] <>

rainyblue - 2008-8-13 10:54:00

引用:
原帖由 雨君009 于 2008-8-13 9:31:00 发表
1.建议使用XDelBox删除以下文件

c:\progra~1\common~1\symant~1\symcdata\idsdefs\20070821.001\symidsco.sys
c:\windows\system32\drivers\secdrv.sys
%systemroot%\system32\shdocvw.dll

2.删除重启后使用SREng修复下面各

c:\windows\system32\drivers\secdrv.sys
%systemroot%\system32\shdocvw.dll
这两个都是正常的系统文件啊！！

雨君009 - 2008-8-13 10:59:00
第4个，没有看出问题！

小狮子AA - 2008-8-13 10:59:00
过分依赖公司名称结果
病毒加个公司名称，版本号，轻而易举
如最近JAV

雨君009 - 2008-8-13 11:02:00
1.建议使用XDelBox删除以下文件

c:\windows\system32\360mon.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\wyrsdj.dll
cfsserv.exe -noclient
tfncky.exe
ndstray.exe
c:\windows\system32\mttwfh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\zycdex.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\dntggf.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\appmgmts.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[WinlogonNotify: xy3safe] <C:\WINDOWS\system32\360mon.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}] <C:\WINDOWS\system32\wrqszl.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}] <C:\WINDOWS\system32\kgfghd.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll>
[{AEB6717E-7E19-21d2-97EE-00C04FD91972}] <C:\WINDOWS\system32\360mon.dll>
[CFSServ.exe] <CFSServ.exe -NoClient>
[TFncKy] <TFncKy.exe>
[NDSTray.exe] <NDSTray.exe>
[{021F087F-4378-545F-74FA-37D345AD7A8C}] <C:\WINDOWS\system32\mttwfh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] <C:\WINDOWS\system32\wklsdd.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] <C:\WINDOWS\system32\tdffdl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}] <C:\WINDOWS\system32\ddserh.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] <C:\WINDOWS\system32\tdfhex.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgdewg.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}] <C:\WINDOWS\system32\zgtwfx.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] <C:\WINDOWS\system32\fsrgeb.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zycdex.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}] <C:\WINDOWS\system32\tdggrz.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] <C:\WINDOWS\system32\fmcvxy.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}] <C:\WINDOWS\system32\dntggf.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] <C:\WINDOWS\system32\zsdgff.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}] <C:\WINDOWS\system32\wzcfsw.dll>

启动项目－－服务－－ Win32服务应用程序之如下项删除：
[Application Management / AppMgmt] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll>

雨君009 - 2008-8-13 11:04:00
好的，我再看看。谢谢“小狮子AA ”
:default6:

玩家国度 - 2008-8-13 11:22:00
第一篇日志 20080812_1.log
可疑文件：
c:\windows\winlog.exe

第二篇日志 20080812_2.log
可疑文件：
c:\windows\system32\drivers\aauxlpa.sys
可疑驱动项：
[aauxlpa / aauxlpa] <\SystemRoot\system32\drivers\aauxlpa.sys>

第三篇日志 20080812_3.log
C:\WINDOWS\system32\nview.dll 注入很多进程，比较可疑

第四篇日志 20080812_4.log
可疑驱动项：
[zalws / zalws] <\??\C:\WINDOWS\system32\drivers\zalws.sys>
[puckxri / puckxri] <\??\C:\WINDOWS\system32\drivers\puckxri.sys>
[nocashio / nocashio] <system32\drivers\nocashio.sys>

第五篇日志 20080812_5.log
可疑文件：
c:\windows\system32\360mon.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\zycdex.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\dntggf.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\drivers\msiffei.sys
可疑注册表项：
[WinlogonNotify: xy3safe] <C:\WINDOWS\system32\360mon.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}] <C:\WINDOWS\system32\wrqszl.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}] <C:\WINDOWS\system32\kgfghd.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll>
[{AEB6717E-7E19-21d2-97EE-00C04FD91972}] <C:\WINDOWS\system32\360mon.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}] <C:\WINDOWS\system32\mttwfh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] <C:\WINDOWS\system32\wklsdd.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] <C:\WINDOWS\system32\tdffdl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}] <C:\WINDOWS\system32\ddserh.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] <C:\WINDOWS\system32\tdfhex.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgdewg.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}] <C:\WINDOWS\system32\zgtwfx.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] <C:\WINDOWS\system32\fsrgeb.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zycdex.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}] <C:\WINDOWS\system32\tdggrz.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] <C:\WINDOWS\system32\fmcvxy.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}] <C:\WINDOWS\system32\dntggf.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] <C:\WINDOWS\system32\zsdgff.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}] <C:\WINDOWS\system32\wzcfsw.dll>
可疑驱动项：
[msiffei / msiffei] <System32\Drivers\msiffei.sys>

叶陵君 - 2008-8-13 11:39:00
第一篇日志。删除C:\WINDOWS\winlog.EXE ，并对文件关联进行修复。
浏览器加载项名称和路径名为空的做下处理。（谢谢金星王子提醒）

叶陵君 - 2008-8-13 11:42:00
第二篇日志
删除驱动
C:\windows\system32\drivers\aauxlpa.sys
做好浏览器加载项清理工作。

叶陵君 - 2008-8-13 11:56:00
第三篇日志
删除以下
C:\Program Files\InterVideo\WinDVR3\WinRemote.exe （远程控件的东东，如果不是他自己弄的，建议删除）
C:\WINDOWS\system32\fsutk.dll
做好浏览器加载项清理工作。

叶陵君 - 2008-8-13 12:07:00
第四篇日志
删除以下驱动
C:\WINDOWS\system32\drivers\zalws.sys
C:\WINDOWS\system32\drivers\puckxri.sys

做好浏览器加载项清理工作。

叶陵君 - 2008-8-13 12:24:00
第五篇
删除以下动态链接库
C:\WINDOWS\system32\360mon.dll
C:\WINDOWS\system32\wrqszl.dll
C:\WINDOWS\system32\kgfghd.dll
C:\WINDOWS\system32\wyrsdj.dll

删除以下驱动
C:\WINDOWS\System32\Drivers\msiffei.sys

删除以下自启动项目
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\wklsdd.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\ddserh.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\sgdewg.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zgtwfx.dll
C:\WINDOWS\system32\fsrgeb.dll
C:\WINDOWS\system32\zycdex.dll
C:\WINDOWS\system32\tdggrz.dll
C:\WINDOWS\system32\jdsaex.dll
C:\WINDOWS\system32\fmcvxy.dll
C:\WINDOWS\system32\dntggf.dll
C:\WINDOWS\system32\zsdgff.dll
C:\WINDOWS\system32\jhfrxz.dll
C:\WINDOWS\system32\wzcfsw.dll

清理浏览器加载项

天云一剑 - 2008-8-13 16:20:00
编号5的日志

[CFSServ.exe] <CFSServ.exe -NoClient>
[TFncKy] <TFncKy.exe>
[NDSTray.exe] <NDSTray.exe>
这三个是东芝本的正常项目
怀疑的话，也要上传分析下

文物2 - 2008-8-13 17:10:00
第一篇日志

用xdelbox重启后删除
C:\WINDOWS\winlog.EXE

用SReng修复.TXT,.REG,.CHM,.INI,.INF,.VBS

fairsentence - 2008-8-13 19:37:00
日志一：
1.建议使用XDelBox删除以下文件[/b
c:\program files\winrar\rarext.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[run] <>
[load] <>

[

[

魔法学徒 - 2008-8-13 23:02:00
能问问你这些操作的依据是什么吗？

雨君009 - 2008-8-14 9:22:00

引用:
原帖由 魔法学徒 于 2008-8-13 23:02:00 发表
能问问你这些操作的依据是什么吗？

我的依据是个人感觉。呵呵

雨君009 - 2008-8-14 11:18:00
怎么没有学长来给出正确的答案呢？

没有眼泪 - 2008-8-14 11:34:00
第一个日志
结束进程C:\WINDOWS\winlog.EXE
然后删除文件C:\WINDOWS\winlog.EXE
驱动
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\D:\Program Files\QQ2007\npkcrypt.sys><INCA Internet Co., Ltd.>
修复杀软

第二个日志
删除驱动
[aauxlpa / aauxlpa][Stopped/Boot Start]
<\SystemRoot\system32\drivers\aauxlpa.sys><N/A>
卡卡助手重装

第五个日志
使用XDelBox删除以下文件
c:\windows\system32\360mon.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\tdispvol.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\zycdex.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\dntggf.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\drivers\msiffei.sys
启动项目－－注册表之如下项删除：
[{F99DEFDD-200B-4410-B572-E90883D527D2}] <C:\WINDOWS\system32\wrqszl.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}] <C:\WINDOWS\system32\kgfghd.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll>
[{AEB6717E-7E19-21d2-97EE-00C04FD91972}] <C:\WINDOWS\system32\360mon.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}] <C:\WINDOWS\system32\mttwfh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] <C:\WINDOWS\system32\wklsdd.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] <C:\WINDOWS\system32\tdffdl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}] <C:\WINDOWS\system32\ddserh.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] <C:\WINDOWS\system32\tdfhex.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgdewg.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}] <C:\WINDOWS\system32\zgtwfx.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] <C:\WINDOWS\system32\fsrgeb.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zycdex.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}] <C:\WINDOWS\system32\tdggrz.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] <C:\WINDOWS\system32\fmcvxy.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}] <C:\WINDOWS\system32\dntggf.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] <C:\WINDOWS\system32\zsdgff.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll>
删除驱动程序
[msiffei / msiffei] <System32\Drivers\msiffei.sys>

第三第四个日志,没看出来

lqqk7 - 2008-8-15 16:04:00
第一份日志参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\winlog.exe
d:\program files\360safe\safemon\360tray.exe
360tray.exe文件版本已经改变，极有可能已经被病毒恶搞了
———————————————————————————————————————
需要修复的文件关联；
———————————————————————————————————————
残留的的symantec的注册表项可以删掉，加载项里的一些空项亦可删掉

lqqk7 - 2008-8-15 16:07:00
第二份日志参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\drivers\aauxlpa.sys
———————————————————————————————————————
可疑驱动项：
[aauxlpa / aauxlpa] <\SystemRoot\system32\drivers\aauxlpa.sys>
———————————————————————————————————————
加载项里面一些空项可以清掉

lqqk7 - 2008-8-15 16:14:00
第三份日志参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\liprip.dll
c:\windows\system32\fsutk.dll
———————————————————————————————————————
可疑服务项：
[Remote IPRIP Service / Iprip][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
———————————————————————————————————————
可疑浏览器加载项：
[QuickFlash]
{BF50AC63-19DA-487E-AD4A-0B452D823B59} <C:\WINDOWS\system32\fsutk.dll, N/A>
———————————————————————————————————————

lqqk7 - 2008-8-15 16:23:00
第四分日志参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\drivers\zalws.sys
c:\windows\system32\drivers\puckxri.sys
c:\windows\system32\drivers\nocashio.sys
———————————————————————————————————————
可疑驱动项：
[zalws / zalws] <\??\C:\WINDOWS\system32\drivers\zalws.sys>
[puckxri / puckxri] <\??\C:\WINDOWS\system32\drivers\puckxri.sys>
[nocashio / nocashio] <system32\drivers\nocashio.sys>
———————————————————————————————————————

lqqk7 - 2008-8-15 16:37:00
第五篇日志参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\360mon.dll
c:\windows\system32\kgfghd.dll
c:\windows\system32\wrqszl.dll
c:\windows\system32\wyrsdj.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\wklsdd.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\ddserh.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\sgdewg.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\zgtwfx.dll
c:\windows\system32\fsrgeb.dll
c:\windows\system32\zycdex.dll
c:\windows\system32\tdggrz.dll
c:\windows\system32\jdsaex.dll
c:\windows\system32\fmcvxy.dll
c:\windows\system32\dntggf.dll
c:\windows\system32\zsdgff.dll
c:\windows\system32\jhfrxz.dll
c:\windows\system32\wzcfsw.dll
c:\windows\system32\drivers\msiffei.sys
———————————————————————————————————————
可疑注册表启动项：
[WinlogonNotify: xy3safe] <C:\WINDOWS\system32\360mon.dll>
[{F99DEFDD-200B-4410-B572-E90883D527D2}] <C:\WINDOWS\system32\wrqszl.dll>
[{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}] <C:\WINDOWS\system32\kgfghd.dll>
[{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll>
[{AEB6717E-7E19-21d2-97EE-00C04FD91972}] <C:\WINDOWS\system32\360mon.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}] <C:\WINDOWS\system32\mttwfh.dll>
[{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] <C:\WINDOWS\system32\wklsdd.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}] <C:\WINDOWS\system32\tdffdl.dll>
[{A9895933-6636-4281-BC58-EE6DE2AF96E3}] <C:\WINDOWS\system32\ddserh.dll>
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] <C:\WINDOWS\system32\tdfhex.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgdewg.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll>
[{006CA8A1-61BC-4774-A54C-F49034270BAD}] <C:\WINDOWS\system32\zgtwfx.dll>
[{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] <C:\WINDOWS\system32\fsrgeb.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zycdex.dll>
[{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}] <C:\WINDOWS\system32\tdggrz.dll>
[{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll>
[{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] <C:\WINDOWS\system32\fmcvxy.dll>
[{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}] <C:\WINDOWS\system32\dntggf.dll>
[{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] <C:\WINDOWS\system32\zsdgff.dll>
[{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll>
[{28766E1C-74B0-4417-8C75-F12AE309EF35}] <C:\WINDOWS\system32\wzcfsw.dll>
———————————————————————————————————————
可疑驱动项：
[msiffei / msiffei] <System32\Drivers\msiffei.sys>
———————————————————————————————————————

玩家国度 - 2008-8-15 16:54:00
[Remote IPRIP Service / Iprip][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
这个为什么是可疑的呢？:default2:怎么判断？

海生 - 2008-8-16 11:07:00

引用:
原帖由 玩家国度 于 2008-8-15 16:54:00 发表
[Remote IPRIP Service / Iprip][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
这个为什么是可疑的呢？:defaul......

liprip.dll目前瑞星报是病毒，扫描日志有好多人认为是可疑的项目，但很难删除。
用冰刃在安全模式下面，禁止线程创建，然后删除该文件，同时用autorun删除启动项目，好象是没有了。但是重新启动之后，重新搜索，还是可以发现这个文件又回来了，非常的奇怪。感觉好象是autoCAD带进来的，但又没有办法确定。

12

查看完整版本: 日志分析练习080812

© 2000 - 2026 Rising Corp. Ltd.