瑞星卡卡安全论坛

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）


 附件: 您所在的用户组无法下载或查看附件

幸好幸好与成绩无关,我都没有上课,郁闷

可疑的文件：
c:\windows\system32\msdmo.dll
c:\windows\system32\wiasf.ax
c:\windows\system32\zs211prp.ax
c:\windows\system32\3waresrv.exe
c:\windows\system32\ff13.exe
c:\windows\system32\drivers\vrobg.sys
c:\windows\system32\npkycryp.sys

[3ware Controller Service / 3wareSrv]    <C:\WINDOWS\System32\3wareSrv.exe>
[Amedlie / Amedlie]    <C:\WINDOWS\system32\ff13.exe>
[vrobg / vrobg]    <\SystemRoot\system32\drivers\vrobg.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>

该用户帖子内容已被屏蔽

C:\WINDOWS\system32\ff13.exe
C:\WINDOWS\system32\drivers\vrobg.sys
C:\WINDOWS\system32\DRIVERS\rr172x.sys
C:\WINDOWS\system32\DRIVERS\rr174x.sys
C:\WINDOWS\system32\DRIVERS\rr2340.sys
C:\WINDOWS\system32\DRIVERS\ql2100.sys
C:\WINDOWS\system32\DRIVERS\ql2200.sys
C:\WINDOWS\system32\DRIVERS\hptmv6.sys
C:\WINDOWS\system32\22b3.dll

这个好难....

好几项没法排除..看来真要多练才行.:kaka6:

1.<HControl><; C:\WINDOWS\ATK0100\HControl.exe>  []
    <Domino><; C:\WINDOWS\Domino.exe>  []
2.[3ware Controller Service / 3wareSrv][Stopped/Disabled]
  <C:\WINDOWS\System32\3wareSrv.exe><N/A>被禁止的，删除
[Amedlie / Amedlie][Stopped/Auto Start]
  <C:\WINDOWS\system32\ff13.exe><(File is missing)>这是什么服务，停止运行？

[3ware Controller Service / 3wareSrv][Stopped/Disabled]
  <C:\WINDOWS\System32\3wareSrv.exe><N/A>

[Amedlie / Amedlie][Stopped/Auto Start]
  <C:\WINDOWS\system32\ff13.exe><(File is missing)>

[askd / askd][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\askd.ahc><N/A>

[Invoke Class]
  {3D931C6E-C1DC-434C-BADB-39745693950B} <C:\WINDOWS\system32\22b3.dll, N/A>

这个莫非就是用旋风下载而染上的病毒？