瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月9日 日志分析 练习5
lqqk7 - 2009-7-9 9:51:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
:kaka16: 其实这日志没有明显异常,只有一个可疑加载项,可以删除,也可以上报到反病毒厂商进行鉴定

 附件: 您所在的用户组无法下载或查看附件
merrk_chuan - 2009-7-9 18:45:00
***** 该内容需回复才可浏览 *****
凡尘之沙 - 2009-7-9 22:35:00
***** 该内容需回复才可浏览 *****
daemonz - 2009-7-10 8:54:00
就觉得这个是
c:\windows\system32\npkycryp.sys

[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>

google搜了一下,确实有说这个是木马,但也有说是qq的文件
merrk_chuan - 2009-7-10 11:31:00
那个确实是QQ的文件
精神病院看门的 - 2009-7-10 11:45:00
该用户帖子内容已被屏蔽
daemonz - 2009-7-10 19:01:00
我转个帖子吧

首先请你们看下下面的两个.SYS扩展名文件是同一的吗?是正常的QQ文件吗?你也可以自己在QQ目录查找下。
                                          C:\Program Files\Tencent\QQ\npkcrypt.sys
                                          C:\Program Files\Tencent\QQ\npkycryp.sys
初一看路径和文件名是一样的:
npkcrypt.sys
npkycryp.sys
仔细比对这文件原来是粗略的看下的话,两个文件差别不大,不会引起注意.
注意npkcrypt.sys控件正确位置:
07版        X:\Program Files\Tencent\QQ\qqedit\
06版        X:\Program Files\Tencent\QQ\和C:\WINNT\system32\qqedit\
后来查找发现:
C:\Program Files\Tencent\QQ\npkycryp.sys(QQ根本无此文件)!
dipahole - 2009-7-10 21:33:00
C:\WINDOWS\system32\DRIVERS\aec68x5.sys
C:\WINDOWS\system32\DRIVERS\a320raid.sys
C:\WINDOWS\system32\DRIVERS\aaatimeo.sys
C:\WINDOWS\system32\DRIVERS\aac.sys
C:\WINDOWS\system32\DRIVERS\aacsas.sys
C:\WINDOWS\system32\DRIVERS\aar1210.sys
C:\WINDOWS\system32\DRIVERS\adp94xx.sys
C:\WINDOWS\system32\DRIVERS\adp94xx.sys
C:\WINDOWS\system32\DRIVERS\adp94xx.sys
C:\WINDOWS\system32\DRIVERS\adpu160m.sys
C:\WINDOWS\system32\DRIVERS\adpu320.sys
C:\WINDOWS\system32\DRIVERS\aec6210.sys
C:\WINDOWS\system32\DRIVERS\aec6260.sys
C:\WINDOWS\system32\DRIVERS\aec6280.sys
C:\WINDOWS\system32\DRIVERS\aec6280.sys
C:\WINDOWS\system32\DRIVERS\aec67160.sys
C:\WINDOWS\system32\DRIVERS\AEC671X.sys
C:\WINDOWS\system32\DRIVERS\AEC6880.sys
C:\WINDOWS\system32\DRIVERS\aec6897.sys
C:\WINDOWS\system32\DRIVERS\aec68x5.sys
C:\WINDOWS\system32\DRIVERS\ahcix86.sys
C:\WINDOWS\system32\DRIVERS\aliide.sys
C:\WINDOWS\system32\DRIVERS\amdagp.sys
C:\WINDOWS\system32\DRIVERS\amdbusdr.sys
...........N多看得眼残了...老师太折磨我了
零度的穷浪漫 - 2009-7-30 10:48:00
1.[NetMeeting Remote Desktop Sharing / mnmsrvc][Stopped/Manual Start]
  <><(File is missing)>删掉
2.[BDBHOSL2.CBHOSL2]
  {B3A8699C-A04B-4E73-B983-369DE4AC23ED} <C:\WINDOWS\system32\bhosl2.dll, bhosl2>
[System Link]
  {04699E3B-1CD1-4479-B171-DAF8CA8518DF} <C:\WINDOWS\system32\bdsl2.dll, SysLink2>
[BDBHOSL2.CBHOSL2]
  {B3A8699C-A04B-4E73-B983-369DE4AC23ED} <C:\WINDOWS\system32\bhosl2.dll, bhosl2>
浏览器加载项里的这些.dll文件怎么看啊
3.[C:\WINDOWS\system32\nvshell.dll]  [, ]
[C:\Program Files\DAEMON Tools Lite\Lang\CHS.dll]  [N/A, ]
    [C:\Program Files\DAEMON Tools Lite\Lang\ENU.dll]  [N/A, ]
进程里的这些要删掉么?
乐陶猪 - 2009-8-5 23:20:00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <nwiz><nwiz.exe /install>  []

[mv614x / mv614x][Stopped/Disabled]
  <\SystemRoot\system32\DRIVERS\mv614x.sys><N/A>

nwiz.exe 和mv614x.sys是干吗用的??
1
查看完整版本: 7月9日 日志分析 练习5
© 2000 - 2026 Rising Corp. Ltd.