瑞星卡卡安全论坛

即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）

注意：
1、文件虽然已经[File is missing]，但是注册表项还是要删除的；

 附件: 您所在的用户组无法下载或查看附件

\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp 这个驱动文件有问题啊

C:\WINDOWS\system32\erdznUfbK0ZF.dll
C:\WINDOWS\fonts\f13ERxR2Urh.fon
C:\WINDOWS\system32\GrTZqH5SnRhAt.dll

1    \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp  驱动有毒

1、驱动<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp><N/A>不正常
2、浏览器加载项[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>有问题

用帖子里提供的工具删除以下文件（http://bbs.ikaka.com/showtopic-8442813.aspx）

\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp
\??\C:\WINDOWS\system32\drivers\pnpmem.sys
管删除成功与否，请重启下，然后使用SREng修复下面各项：


    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
\??\C:\WINDOWS\system32\drivers\pnpmem.sys
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp
敢问一下 2楼仁兄的那几个文件在哪发现的（超虔诚！）

该用户帖子内容已被屏蔽

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{669029EE-81FB-496F-9AC4-FE838B16F231}><C:\WINDOWS\system32\erdznUfbK0ZF.dll>  [File is missing]
    <{E11FB24A-F766-4D0F-ADF5-237958FFA262}><C:\WINDOWS\fonts\f13ERxR2Urh.fon>  [File is missing]
    <{4E5CFE74-700B-4A8B-B0BF-A6B47D896C18}><C:\WINDOWS\system32\GrTZqH5SnRhAt.dll>  [File is missing]



浏览器加载项  。。。下面这个有点看不明白。。为什么(Signed) N/A？

[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>

只是没有公司名罢了，有signed的 基本上都是可以跳过的

觉得这两个有问题：
c:\docume~1\admini~1\locals~1\temp\~49f7d0.tmp
c:\windows\system32\drivers\pnpmem.sys

[zx / zx]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp>
[pnpmem / pnpmem]    <\??\C:\WINDOWS\system32\drivers\pnpmem.sys>

1.[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>  [File is missing]
    <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [File is missing]
    <PHIME2002ASync><; C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{669029EE-81FB-496F-9AC4-FE838B16F231}><C:\WINDOWS\system32\erdznUfbK0ZF.dll>  [File is missing]
    <{E11FB24A-F766-4D0F-ADF5-237958FFA262}><C:\WINDOWS\fonts\f13ERxR2Urh.fon>  [File is missing]
    <{4E5CFE74-700B-4A8B-B0BF-A6B47D896C18}><C:\WINDOWS\system32\GrTZqH5SnRhAt.dll>  [File is missing]
2.[pnpmem / pnpmem][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\pnpmem.sys><N/A>
[zx / zx][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp><N/A>这个就一定有问题！
3.进程
    [C:\WINDOWS\system32\msdmo.dll]  [, ]msdmo.dll属于正常文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{669029EE-81FB-496F-9AC4-FE838B16F231}><C:\WINDOWS\system32\erdznUfbK0ZF.dll>  [File is missing]
    <{E11FB24A-F766-4D0F-ADF5-237958FFA262}><C:\WINDOWS\fonts\f13ERxR2Urh.fon>  [File is missing]
    <{4E5CFE74-700B-4A8B-B0BF-A6B47D896C18}><C:\WINDOWS\system32\GrTZqH5SnRhAt.dll>  [File is missing]
==================================
服务
  <\??\C:\Program Files\360\360Safe\Modules\SupperKiller\BFSDRV.sys><N/A>
==================================
驱动程序
[pnpmem / pnpmem][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\pnpmem.sys><N/A>
[zx / zx][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp><N/A>