瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月8日 日志分析 练习5
lqqk7 - 2009-7-8 12:44:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!



 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、AppInit_DLLs项不要直接删除,而是将其清空;
2、日志中出现了一些可疑项不宜判断是否是病毒,如C:\WINDOWS\sebs\pbhealth.dll,可以询问用户或网络搜索获得有价值的信息;

 附件: 您所在的用户组无法下载或查看附件
handle - 2009-7-8 13:35:00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <soundman><C:\WINDOWS\services.exe>  [File is missing]
为什么会出现这个项目~没见过啊~这个注册表路径~不懂:kaka2:

<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A] 被搞了...

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>


[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
这几个驱动可能有点问题,要上班了,来不及去查了...

API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

这个一直搞不懂~
skaka7941455 - 2009-7-8 13:36:00
我认为可疑的文件如下
<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>      怀疑是玛雅木马
[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>      不知道为什么没有启动  肯能缺少了文件把
[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>
[wmpobj / wmpobj][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>这个肯定木马
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
简单分析了一下    还希望lqqk7老师可以点评一下啊  :default6:
skaka7941455 - 2009-7-8 13:46:00
[GDGetTokenInfo Class]
  {3AA9CF07-DF20-48FF-98BE-DED276E40146} <C:\WINDOWS\system32\GDREAD~1.DLL, >
[InfoSecNetSign Class]
  {5CB840B5-A94E-4AD9-B785-4866E3B04476} <C:\WINDOWS\DOWNLO~1\ICBCNE~1.DLL, (Signed) Infosec Technologies Co., Ltd.>
[AxInputControl Class]
  {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\system32\INPUTC~1.DLL, >
这些~1是什么路径啊:kaka2: :kaka2: :kaka2: :kaka2: :kaka2:
基牛 - 2009-7-8 14:51:00
<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]这个地方不是很懂
<checkinstall><C:\Program Files\ICBCPe~1\ICBC\BHDC(Personal)\CheckInstall.exe>  [File is missing]
    <MenuOrder><C:\Program Files\ICBCPe~1\ICBC\BHDC(Personal)\MenuOrder\MenuOrder.exe>  [File is missing]很可疑
:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\RAR$EX00.500\SRENGLDR.EXE 删除
C:\WINDOWS\system32\sslsocket.dll广告病毒 删除
C:\WINDOWS\MayaBaby\MayaBabyDll.dat
C:\WINDOWS\system32\gdread~1.dll 可疑
merrk_chuan - 2009-7-8 15:22:00
用帖子里提供的工具删除以下文件(http://bbs.ikaka.com/showtopic-8442813.aspx

C:\WINDOWS\MayaBaby\MayaBabyDll.dat
c:\windows\system32\sslsocket.dll
c:\windows\sebs\pbhealth.dll
c:\windows\system32\winlib .dll
c:\windows\system32\sysdajchv.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\msosptfs00.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msoscqet00.dll
c:\windows\system32\msosfasq00.dll
c:\windows\system32\msosjtfo00.dll
c:\windows\system32\wipicdec.dll
c:\windows\services.exe
c:\windows\mayababy\mayababymain.exe
c:\windows\system32\drivers\acpidisk.sys
c:\program files\microsoft office\system\apcdli.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys
c:\windows\system32\drivers\qxdcn.sys
c:\windows\system32\drivers\osurwo.sys
c:\windows\system32\drivers\osddtj.sys
c:\windows\system32\drivers\nsqslc.sys
c:\windows\system32\drivers\nskhbn.sys
c:\windows\system32\drivers\msomxh.sys
c:\windows\system32\drivers\mslxvh.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\msfljw.sys
c:\windows\system32\drivers\apaidi.sys
c:\windows\system32\drivers\acpidisk.sys
c:\windows\system32\drivers\parox.sys
c:\documents and settings\all users\application data\microsoft\office\userdata\webbrowser_2005.dll

2.不管删除成功与否,请重启下,然后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
注意该项[AppInit_DLLs]修改:把<SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>修改为<>即清空
[soundman]    <C:\WINDOWS\services.exe>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[网络服务 / Network Services]    <C:\WINDOWS\MayaBaby\MayaBabyMain.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:


[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
[qxdcn / qxdcn]    <\SystemRoot\system32\drivers\qxdcn.sys>
[osurwo / osurwo]    <\??\C:\WINDOWS\system32\drivers\osurwo.sys>
[osddtj / osddtj]    <\??\C:\WINDOWS\system32\drivers\osddtj.sys>
[nsqslc / nsqslc]    <\??\C:\WINDOWS\system32\drivers\nsqslc.sys>
[nskhbn / nskhbn]    <\??\C:\WINDOWS\system32\drivers\nskhbn.sys>
[msomxh / msomxh]    <\??\C:\WINDOWS\system32\drivers\msomxh.sys>
[mslxvh / mslxvh]    <\??\C:\WINDOWS\system32\drivers\mslxvh.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[msfljw / msfljw]    <\??\C:\WINDOWS\system32\drivers\msfljw.sys>
[Apaidi / Apaidi]    <\??\C:\WINDOWS\system32\drivers\Apaidi.sys>
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[apcdli / apcdli]    <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys>
[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
[parox / parox]      <\SystemRoot\system32\drivers\parox.sys><N/A>

    系统修复-- 浏览器加载项之如下项删除:
[Info cache]    <C:\WINDOWS\sebs\pbhealth.dll>
[InceSurfer Class]    <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll>
daemonz - 2009-7-8 16:46:00
可疑的地方:

  <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>


这些驱动也许是木马

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>


hosts文件缺少默认的一行

凡尘之沙 - 2009-7-8 16:49:00
***** 该内容需回复才可浏览 *****
精神病院看门的 - 2009-7-8 21:52:00
该用户帖子内容已被屏蔽
最硬的石头 - 2009-7-8 22:04:00
有些不确定的东西还是先搜索下吧,照这样删,估计系统没几个不崩溃了
最硬的石头 - 2009-7-8 22:11:00


引用:
原帖由 handle 于 2009-7-8 13:35:00 发表
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

这个一直搞不懂~ 


卡巴的一些钩子,用于主动防御
smallyou93 - 2009-7-8 22:28:00
http://file.ikaka.com/Main/index.shtml

6楼的貌似比较准确
我没看浏览器加载项,但是该删除的文件都差不多了(注册表和浏览器加载项可以交给Windows 清理助手)
C:\WINDOWS\services.exe
C:\WINDOWS\system32\SysDaJcHv.dll
C:\WINDOWS\system32\msosping00.dll
C:\WINDOWS\system32\msosptfs00.dll
C:\WINDOWS\system32\msosmnsf00.dll
C:\WINDOWS\system32\msoscqet00.dll
C:\WINDOWS\system32\msosfasq00.dll
C:\WINDOWS\system32\msosjtfo00.dll
C:\WINDOWS\system32\wipicdec.dll
C:\WINDOWS\MayaBaby\MayaBabyMain.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\system32\drivers\msfljw.sys
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\system32\drivers\mslxvh.sys
C:\WINDOWS\system32\drivers\msomxh.sys
C:\WINDOWS\system32\drivers\nskhbn.sys
C:\WINDOWS\system32\drivers\nsqslc.sys
C:\WINDOWS\system32\drivers\osddtj.sys
C:\WINDOWS\system32\drivers\osurwo.sys
C:\WINDOWS\system32\drivers\parox.sys
C:\WINDOWS\system32\drivers\qxdcn.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys
C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\MayaBaby\MayaBabyDll.dat
Huntsanao - 2009-7-8 22:57:00
<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
这里很可疑,因为老师的讲义里说到AppInit_DLLs的键值默认应该为空的!只有少数像卡卡会修改键值为ieprot.dll或kmon.dll!
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这里加载了SystemRoot%\System32\hidserv.dll很可疑!
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.CHM  Error. ["hh.exe" %1]
这里也很可疑!
再问一下,那些后面带有[File is missing]的,前面那些还有没有作用的?
例如这里:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [File is missing]
still刀刀 - 2009-7-26 21:18:00
System Repair Engineer 2.7.12.1018
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


启动项目
注册表



    <soundman><C:\WINDOWS\services.exe>  [File is missing]

    <load><>  [N/A]

   
 

    <racer><C:\Program Files\racer-ccn-racerpc-sd\racer.exe>  [Putian Runway]

 



    <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]






    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [File is missing]

   

    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [File is missing]

 
   
    <SCRNSAVE.EXE><C:\WINDOWS\system32\Coopen.scr>  [File is missing]

==================================
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> C:\PROGRA~1\Tencent\QQ\QQ.exe [TENCENT]><N>

==================================
服务




  <"C:\Program Files\Windows Live\installer\WLSetupSvc.exe"><(File is missing)>

==================================
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>



  <system32\DRIVERS\Chip_usb.sys><>


 


  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>

==================================
浏览器加载项






[]
  {05C1004E-2596-48E5-8E26-39362985EEB9} <, >

[]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >

[]
  {18226BF8-DC0B-4D81-80E9-A41AE37BB73A} <, >
[]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <, >
 
[网站排名工具条BHO]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <, >

[]
  {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} <, >

[]
  {D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A} <, >



[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
[&使用BitComet下载]
  <res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm, N/A>
[&使用BitComet下载全部链接]
  <res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm, N/A>
[&使用BitComet下载本页视频]
  <res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm, N/A>

[使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>

==================================

    [C:\WINDOWS\system32\winlib .dll]  [N/A, ]
 
    [C:\WINDOWS\MayaBaby\MayaBabyDll.dat]  [N/A, ]
   
    [C:\Program Files\racer-ccn-racerpc-sd\plugins\NPSWF32.dll]  [, ]
   
[PID: 3036 / Administrator][C:\Program Files\WinRAR\WinRAR.exe]  [N/A, ]
   

进程特权扫描
 
特殊特权被允许: SeLoadDriverPrivilege [PID = 512, C:\PROGRAM FILES\RACER-CCN-RACERPC-SD\RACER.EXE]
 


==================================

服务
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>
这个基本网络服务没有微软签名  可疑!
零度的穷浪漫 - 2009-7-29 1:07:00
1.<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
这里面不该有值。应该清空
2.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <soundman><C:\WINDOWS\services.exe>  [File is missing]
这个应该是声卡驱动吧?soundman,missing的话是不是就不能用了?重装声卡驱动?修复?
3.[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>
网络服务VS玛雅?
3.[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
清除绑定驱动程序的流氓软件acpidisk.sys,看了后有点明白了,原来acpidisk.sys释放出winlib.dll,待winlib.dll插入到WINLOGON系统进程里去后,就删除掉WINLIB.DLL,所以说搜索不到这个文件,知道了原理之后清除这个病毒就很容易了。
  1.打开PROCE EXPLORER,暂停掉WINLOGON.EXE这个进程
  2.从WINLOGON进程里卸载掉winlib.dll这个线程
  3.在设备管理器里面先停止acpidisk.sys驱动,之后卸载它,并且删除掉%systemroot%\system32\drivers路径里的acpidisk.sys文件。
  4.用工具删除掉acpidisk这个服务
  重启电脑后,WINLIB.DLL这个文件就不会再出现了。
4.[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
apaidi这个服务少文件了。
sc query apaidi
发现果然这个服务是stop状态。
“C:\WINNT\system32\drivers\apaidi.sys”
在别人机器上 copy一个就ok了
5[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
这个没有差到是什么东西,很可疑
6.[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>这个也不明白
7.[BitComet]
  {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} <, >
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, N/A>
[GDGetTokenInfo Class]
  {3AA9CF07-DF20-48FF-98BE-DED276E40146} <C:\WINDOWS\system32\GDREAD~1.DLL, >
[AxInputControl Class]
  {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\system32\INPUTC~1.DLL, >
Networking Technologies,LTD>
[]
  {05C1004E-2596-48E5-8E26-39362985EEB9} <, >
[]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
……
[]
  {FB5F1910-F110-11D2-BB9E-00C04F795683} <, >
[&使用BitComet下载]
  <res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm, N/A>
[&使用BitComet下载全部链接]
  <res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm, N/A>
[&使用BitComet下载本页视频]
  <res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm, N/A>
[使用迅雷下载]
  <C:\Program Files\Thunder Network\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A>
浏览器加载项这里貌似看的不是很好,这些不全是有问题的,但是我也确定不了哪些是有问题的
8..CHM  Error. ["hh.exe" %1]这个是不是应该修复?
9.HOSTS 文件
N/A
这个缺少host文件吧?
零度的穷浪漫 - 2009-7-29 1:12:00


引用:
原帖由 Huntsanao 于 2009-7-8 22:57:00 发表
    <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
这里很可疑,因为老师的讲义里说到AppInit_DLLs的键值默认应该为空的!只有少数


[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个是正确的
零度的穷浪漫 - 2009-7-29 1:14:00
浏览器加载项
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\sebs\pbhealth.dll, Kernel Sys>
[InceSurfer Class]
  {686488AF-13D5-9DDF-4FEF-9FB88698CFC1} <C:\Documents and Settings\All Users\Application

Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll, >
[GDGetTokenInfo Class]
  {3AA9CF07-DF20-48FF-98BE-DED276E40146} <C:\WINDOWS\system32\GDREAD~1.DLL, >
[InfosecCertInstall Class]
  {0EB487C8-E9AC-43A6-8C4C-083999B0622F} <C:\WINDOWS\system32\certInStall.dll, >
[Info cache]
  {285AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\sebs\pbhealth.dll, Kernel Sys>

==================================
正在运行的进程
[PID: 832 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\winlib .dll]  [N/A, ]
[PID: 1064 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\MayaBaby\MayaBabyDll.dat]  [N/A, ]
[PID: 3364 / Administrator][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 7.00.6000.16705

(vista_gdr.080618-1506)]
    [C:\WINDOWS\sebs\pbhealth.dll]  [Kernel Sys, 2, 3, 0, 2]
    [C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll]  [, 3, 6, 4, 0]
[PID: 2576 / Administrator][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 7.00.6000.16705

(vista_gdr.080618-1506)]
    [C:\WINDOWS\sebs\pbhealth.dll]  [Kernel Sys, 2, 3, 0, 2]
    [C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll]  [, 3, 6, 4, 0]
老师能解释一下这些么?
乐陶猪 - 2009-8-4 11:19:00
1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]

2. [acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>

3. [msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>

4. [npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>

[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>

[wmpobj / wmpobj][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
1
查看完整版本: 7月8日 日志分析 练习5
© 2000 - 2026 Rising Corp. Ltd.