瑞星卡卡安全论坛

 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件


 附件: 您所在的用户组无法下载或查看附件

======================================
日志分析练习索引：
20080811
20080812
20080813
20080815
======================================

第一篇：

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
启动项：
C:\Program Files\Starsoftcomm\StarCenter\alert.exe
C:\WINDOWS\system32\kbirfcz.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\kbdgrms.dll
C:\WINDOWS\system32\gdz\svchost.exe

NO.1

Xdelbox删除

c:\windows\system32\gdz\svchost.exe
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kbirfcz.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\kbdgrms.dll
c:\docume~1\tf\locals~1\temp\738458052.exe
c:\program files\internet explorer\plugins\winnt64.sys

SREng修复
   
启动项目 -- 注册表之如下项删除：
[N/A]    <C:\WINDOWS\system32\gdz\svchost.exe /t>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pgnwkhe]    <C:\WINDOWS\system32\kbirfcz.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[kbdgrms.dll]    <C:\WINDOWS\system32\kbdgrms.dll>

NO.2

Xdelbox删除

c:\windows\system32\jfrwdh.dll
c:\windows\system32\drivers\uapaaw39.sys
c:\windows\system32\drivers\qwkp.sys
c:\windows\system32\drivers\jpu40.sys

SREng修复
  启动项目--注册表之如下项删除：
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>

    启动项目--服务--驱动程序之如下项禁用：
[uapaaw3 / uapaaw39]    <\SystemRoot\System32\DRIVERS\uapaaw39.sys>
[qwk / qwkp]    <\SystemRoot\System32\DRIVERS\qwkp.sys>
[Jpu40 / Jpu40]    <\SystemRoot\System32\Drivers\Jpu40.sys>

NO.3
看两遍没看出来。。

第一篇
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\kbdgrms.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\gdz\svchost.exe /t
C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll
有可疑，还进程中一大堆是什么？？
d第二篇
qwkp.sys这个不清楚。。。
SSup.dll病毒文件

日志1
删除
C:\WINDOWS\system32\kbirfcz.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\kbdgrms.dll
C:\WINDOWS\system32\gdz\svchost.exe
c:\docume~1\tf\locals~1\temp\738458052.exe
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys

下面是卸载KV2006残留下来的驱动，建议删除，并采用备份后删除
C:\PROGRA~1\KV2006\KRegEx.sys
C:\PROGRA~1\KV2006\KvMemon.sys
C:\PROGRA~1\KV2006\PProtect.sys
使用Sreng删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下的
        <pgnwkhe><C:\WINDOWS\system32\kbirfcz.dll>  [File is missing]
    <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll>  []
    <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll>  [File is missing]
    <kbdgrms.dll><C:\WINDOWS\system32\kbdgrms.dll>  [File is missing]
使用卡卡助手清理IE插件

日志2
删除：
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\System32\Drivers\Jpu40.sys
C:\WINDOWS\System32\DRIVERS\qwkp.sys
C:\WINDOWS\System32\DRIVERS\uapaaw39.sys

日志1
主要的木马文件是
C:\WINDOWS\system32\gdz\svchost.exe
C:\DOCUME~1\tf\LOCALS~1\Temp\738458052.exe
C:\WINDOWS\system32\certmgrkd.dll
首先断开网络，使用冰刀等程序中止进程
PID = 1988, C:\WINDOWS\SYSTEM32\GDZ\SVCHOST.EXE
PID = 3756, C:\DOCUME~1\TF\LOCALS~1\TEMP\738458052.EXE
然后使用xdelbox清除上面三个文件
使用SRENG清除启动项注册表中的下面项，然后重启系统就行了。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <pgnwkhe><C:\WINDOWS\system32\kbirfcz.dll>  [File is missing]
    <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll>  []
    <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll>  [File is missing]
    <kbdgrms.dll><C:\WINDOWS\system32\kbdgrms.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5a4cd61a-d2c4-2719-2719-e3d56fa3560f}]
    <N/A><C:\WINDOWS\system32\gdz\svchost.exe /t>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [File is missing]

日志2
主要问题出在驱动里面，有几个可疑文件
  c:windows\System32\Drivers\Jpu40.sys
  c:windows\System32\Drivers\qwkp.sys
  c:windows\System32\Drivers\uapaaw39.sys
  c:\WINDOWS\system32\drivers\nkv2.sys
使用xdelbox对上面文件进行备份后删除，重启后如果没什么问题，可以删除相应注册表项
[Jpu40 / Jpu40][Stopped/Boot Start]
  <\SystemRoot\System32\Drivers\Jpu40.sys><N/A>
[qwk / qwkp][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\qwkp.sys><N/A>
[uapaaw3 / uapaaw39][Stopped/System Start]
  <\SystemRoot\System32\DRIVERS\uapaaw39.sys><N/A>
[USB2_04 driver / USB2_04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\nkv2.sys><N/A>

日志3
没有病毒，但是系统可能依然会存在很多问题或者会很慢，主要原因是同时安装了两种杀毒软件卡巴斯基反病毒软件 7.0和瑞星杀毒套装，所以应该对其中一个进行完全卸载。或者两个都完全卸载之后再重新安装两个中的一种杀毒软件。