瑞星卡卡安全论坛

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）

注意：
1、计划任务中N个rundll32.exe，具体要看后面执行的是什么dll文件，如果有异常可以删除掉对应的dll文件，但这个rundll32.exe不要删除；

 附件: 您所在的用户组无法下载或查看附件

可疑的地方：
c:\windows\system32\nspass4.sys
c:\windows\system32\nspass3.sys
c:\windows\system32\nspass2.sys
c:\windows\system32\nspass1.sys
c:\windows\system32\nspass0.sys
c:\windows\system32\nskhelper2.sys

[AppInit_DLLs]被修改 好像是卡巴吧

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[NsPsDk04 / NsPsDk04]    <\??\C:\WINDOWS\system32\NsPass4.sys>
[NsPsDk03 / NsPsDk03]    <\??\C:\WINDOWS\system32\NsPass3.sys>
[NsPsDk02 / NsPsDk02]    <\??\C:\WINDOWS\system32\NsPass2.sys>
[NsPsDk01 / NsPsDk01]    <\??\C:\WINDOWS\system32\NsPass1.sys>
[NsPsDk00 / NsPsDk00]    <\??\C:\WINDOWS\system32\NsPass0.sys>
[NsDlRK250 / NsDlRK250]    <\??\C:\WINDOWS\system32\Nskhelper2.sys>

还有这些计划任务也取消了
[已启用] At5.job
        rundll32.exe
[已启用] At4.job
        rundll32.exe
[已启用] At3.job
        rundll32.exe
[已启用] At2.job
        rundll32.exe
[已启用] At1.job
        rundll32.exe
[已启用] At10.job
        rundll32.exe
[已启用] At9.job
        rundll32.exe
[已启用] At8.job
        rundll32.exe
[已启用] At7.job
        rundll32.exe
[已启用] At6.job
        rundll32.exe
[已启用] At15.job
        rundll32.exe
[已启用] At14.job
        rundll32.exe
[已启用] At13.job
        rundll32.exe
[已启用] At12.job
        rundll32.exe
[已启用] At11.job
        rundll32.exe
[已启用] At20.job
        rundll32.exe
[已启用] At19.job
        rundll32.exe
[已启用] At18.job
        rundll32.exe
[已启用] At17.job
        rundll32.exe
[已启用] At16.job
        rundll32.exe
[已启用] At21.job
        rundll32.exe

请教下，那个 srsvc.dll 被感染是咋看出来的？

[System Restore Service / srservice][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>

从服务项的这个看出，没有MS的签名，应该是被感染

谢谢，是不是正常的系统文件都要有微软的签名啊

理论上来讲都是这样，不过也有例外的，当然如果要求不太精细的话就把不带签名的当作问题文件好了。

该用户帖子内容已被屏蔽

希望老师给于点评  让我们知道错在哪里  加以改正

这个就不一定了，比如：<C:\windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这样的没签名也是正常的，主要还是要靠经验的积累。

C:\WINDOWS\system32\NsPass0.sys
C:\WINDOWS\system32\NsPass1.sys
C:\WINDOWS\system32\NsPass2.sys
C:\WINDOWS\system32\NsPass3.sys
C:\WINDOWS\system32\NsPass4.sys
C:\WINDOWS\system32\Nskhelper2.sys

似乎就是这些驱动..

1.[MosIrUsb.sys / MosIrUsb][Stopped/Manual Start]
  <system32\DRIVERS\MosIrUsb.sys><>
[NsDlRK250 / NsDlRK250][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>
停止运行？是不是可以删除啊？
2.那计划任务是怎么回事啊？

驱动
[NsDlRK250 / NsDlRK250][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
综上有问题


[System Restore Filter Driver / sr][Stopped/Boot Start]
  <\SystemRoot\system32\DRIVERS\sr.sys><N/A>

[upperdev / upperdev][Stopped/Manual Start]
  <system32\DRIVERS\usbser_lowerflt.sys><N/A>
[Apple Mobile USB Driver / USBAAPL][Stopped/Manual Start]
  <System32\Drivers\usbaapl.sys><N/A>综上没问题

意思是Drivers\目录下没有签名和公司的可以看做是正常:kaka2:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll>  [File is missing]

[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk02 / NsPsDk02][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass2.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>

[PID: 1480 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
    [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll]  [Kaspersky Lab, 8.0.0.454]
    [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll]  [Kaspersky Lab, 8.0.0.454]
    [D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll]  [Kaspersky Lab, 8.0.0.454]

[PID: 1480 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2113)]
    [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll]  [Kaspersky Lab, 8.0.0.454]
    [D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll]  [Kaspersky Lab, 8.0.0.454]
    [D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll]  [Kaspersky Lab, 8.0.0.454]

计划任务
[已启用] At5.job
        rundll32.exe
[已启用] At4.job
        rundll32.exe
[已启用] At3.job
        rundll32.exe
[已启用] At2.job
        rundll32.exe
[已启用] At1.job
        rundll32.exe
[已启用] At10.job
        rundll32.exe
[已启用] At9.job
        rundll32.exe
[已启用] At8.job
        rundll32.exe
[已启用] At7.job
        rundll32.exe
[已启用] At6.job
        rundll32.exe
[已启用] At15.job
        rundll32.exe
[已启用] At14.job
        rundll32.exe
[已启用] At13.job
        rundll32.exe
[已启用] At12.job
        rundll32.exe
[已启用] At11.job
        rundll32.exe
[已启用] At20.job
        rundll32.exe
[已启用] At19.job
        rundll32.exe
[已启用] At18.job
        rundll32.exe
[已启用] At17.job
        rundll32.exe
[已启用] At16.job
        rundll32.exe
[已启用] At21.job
        rundll32.exe