瑞星卡卡安全论坛

首页 » 综合娱乐区 » 活动专区 » 实习生专区 » 实习生交流区 » 7月9日 日志分析 练习6
lqqk7 - 2009-7-9 9:52:00
即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、日志中的很多文件是不常见的,无法判断是否正常,网络搜索也没有获取到有价值的信息,可以上报反病毒厂商进一步鉴定

 附件: 您所在的用户组无法下载或查看附件
精神病院看门的 - 2009-7-9 21:21:00
该用户帖子内容已被屏蔽
凡尘之沙 - 2009-7-9 23:12:00
***** 该内容需回复才可浏览 *****
Lighting_Cui - 2009-7-10 2:53:00
莫非是。。欢乐时光???

Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
daemonz - 2009-7-10 9:27:00
c:\windows\3600tray.exe
c:\windows\system32\winsersec.exe
c:\windows\system32\servdll.dll
c:\windows\system32\wdfmgr.exe

[360tray.exe / 360tray.exe]    <C:\WINDOWS\3600tray.exe>
[winser / winser]    <C:\WINDOWS\system32\winsersec.exe>

Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
skaka7941455 - 2009-7-10 11:28:00
***** 该内容需回复才可浏览 *****
merrk_chuan - 2009-7-10 11:53:00
***** 该内容需回复才可浏览 *****
零度的穷浪漫 - 2009-7-30 13:42:00
1.[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SWd><C:\WINDOWS\winwd.exe>  []
文件 winwd.exe 是存放在目录 C:\Windows。 这个进程在 Windows 启动时自动载入 (参看注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)。这个不是 Windows 系统文件。 程序没有可视窗口。 这是个不知名的文件存放于 Windows 目录。 winwd.exe 是有能力可以 隐藏自身。 总结在技术上威胁的危险度是 76% , 但是也可以参考 用户意见。
2.服务
[360tray.exe / 360tray.exe][Running/Auto Start]
  <C:\WINDOWS\3600tray.exe><N/A>
[winser / winser][Running/Auto Start]
  <C:\WINDOWS\system32\winsersec.exe><N/A>
winsersec.exe进程 是附属于软件 winserwinsersec.exe 由 不知名 发行。
注释: 文件 winsersec.exe 是存放在目录 C:\Windows\System32。应用程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个不是 Windows 核心文件。 总结在技术上威胁的危险度是 73% , 但是也可以参考 用户意见。 切记: winsersec.exe 也可能是恶意软件所伪装,尤其是当它们存在于 c:\windows 或 c:\windows\system32 目录。我们建议使用 Security Task Manager 来检查电脑的安全状况,以便进一步查看 winsersec.exe 进程是否真的有害。

3.[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>
4.[PID: 996 / SYSTEM][C:\WINDOWS\system32\winsersec.exe]  [N/A, ]
    [C:\WINDOWS\system32\servdll.dll]  [N/A, ]
[PID: 1860 / SYSTEM][C:\WINDOWS\3600tray.exe]  [N/A, ]
[C:\WINDOWS\pcsecshext.dll]  [N/A, ]
[C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
wsec32hk.dll
这是德国AntiVir杀毒软件发布的测试内存的工具,很烦人,允许的话会大量占用你的内存,卡机子,坚决阻止它.
5.Winsock 提供者
N/A
==================================
Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
6.特殊特权被允许: SeLoadDriverPrivilege [PID = 1388, C:\WINDOWS\SDAEMON.EXE]
SeLoadDriverPrivilege [PID = 1480, C:\WINDOWS\WINWD.EXE]
乐陶猪 - 2009-8-7 22:49:00
正在运行的进程
[PID: 996 / SYSTEM][C:\WINDOWS\system32\winsersec.exe]  [N/A, ]
[PID: 1860 / SYSTEM][C:\WINDOWS\3600tray.exe]  [N/A, ]
  [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 468 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1800 / Administrator][C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe]  [ESET, 3.0.669 ]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1388 / Administrator][C:\WINDOWS\sdaemon.exe]  [Tropical Software, 6.4]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
    [C:\WINDOWS\system32\servdll.dll]  [N/A, ]
[PID: 1480 / Administrator][C:\WINDOWS\winwd.exe]  [N/A, ]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1696 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1708 / Administrator][C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe]  [Nero AG, 3.3.3.0]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]   
[PID: 2420 / Administrator][D:\Program Files\Maxthon2\Maxthon.exe]  [Maxthon International ltd., 2, 1, 5, 1250]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 2528 / Administrator][C:\WINDOWS\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 3272 / Administrator][E:\Downloads软件工具\sreng2\SRE9b4eb966.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
  ==================================
Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
1
查看完整版本: 7月9日 日志分析 练习6
© 2000 - 2026 Rising Corp. Ltd.