日志分析练习080811 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区日志分析练习080811

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 5 页

跳转页

日志分析练习080811

金星王子版主帖子:2663 注册: 2007-03-05 来自:黑龙江	发表于： 2008-08-11 22:16 \| 短消息资料字号：小中大 11楼回复：日志分析练习我头一次做这个练习，我处理第一个习题的结果：注册表：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [(Verified)Beijing Rising Information Technology Corporation Limited] <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll> [] <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll> [] <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll> [] <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll> [] 这些键值我感觉很可疑，删除。驱动程序：\??\C:\WINDOWS\system32\48c2.sys \??\C:\WINDOWS\system32\b3c2F.sys 这两项感觉很陌生，如果没弄错的话应该删除。浏览器BHO：{0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A> [] {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A> [] 有些陌生，但不确定是否应该删除。正在运行的程序：[C:\WINDOWS\system32\mttwfh.dll] [N/A, ] [C:\WINDOWS\system32\tdffdl.dll] [N/A, ] [C:\WINDOWS\system32\dvgydbuad.dll] [N/A, ] [C:\WINDOWS\system32\raaryuep.dll] [N/A, ] [C:\WINDOWS\system32\lweurqhx.dll] [N/A, ] [C:\WINDOWS\system32\dispexcb.dll] [N/A, ] [C:\WINDOWS\system32\cliconfgzx.dll] [N/A, ] [C:\WINDOWS\system32\120133.dat] [N/A, ] [C:\WINDOWS\system32\dpvvoxmh.dll] [N/A, ] [C:\WINDOWS\system32\qnxtkxyx.dll] [N/A, ] [C:\WINDOWS\system32\jfrwdh.dll] [N/A, ] [C:\WINDOWS\system32\tdfhex.dll] [N/A, ] [C:\WINDOWS\system32\tdffdl.dll] [N/A, ] [C:\WINDOWS\system32\mttwfh.dll] [N/A, ] [C:\WINDOWS\system32\120133.dat] [N/A, ] [C:\WINDOWS\system32\dvgydbuad.dll] [N/A, ] [C:\WINDOWS\system32\cliconfgzx.dll] [N/A, ] [C:\WINDOWS\system32\dispexcb.dll] [N/A, ] [C:\WINDOWS\system32\lweurqhx.dll] [N/A, ] [C:\WINDOWS\system32\raaryuep.dll] [N/A, ] [C:\WINDOWS\system32\qnxtkxyx.dll] [N/A, ] 这些键值十分陌生，而且非常多，必须删除。实在不行可配合其他安全辅助工具进行清理。由于处在system32文件夹下，不是很容易就能清除干净的。删除完后，这些地方入口点错误：RegEnumValueA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll) 入口点错误：RegEnumValueW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll) 入口点错误：RegOpenKeyExA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll) 入口点错误：CreateFileA (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll) 入口点错误：CreateFileW (危险等级: 高, 被下面模块所HOOK: C:\WINDOWS\system32\dvgydbuad.dll)应该用SRENG修复。安全，在任何行业中都是重中之重。
金星王子版主帖子:2663 注册: 2007-03-05 来自:黑龙江

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2008-08-11 22:32 \| 短消息资料字号：小中大 12楼回复：日志分析练习第二个日志解决方案: 用xdelbox重启后删除 c:\windows\system32\kncer32.exe C:\WINDOWS\system32\zofaianu.dll C:\WINDOWS\system32\cliconfgzx.dll C:\WINDOWS\system32\adsntzt.dll C:\WINDOWS\system32\bootvidgj.dll C:\WINDOWS\system32\certmgrkd.dll C:\WINDOWS\system32\avicapwm.dll C:\WINDOWS\system32\imgutilhx2.dll C:\WINDOWS\system32\dpvvoxmh.dll C:\WINDOWS\system32\lweurqhx.dll C:\WINDOWS\system32\tscfgwmijxsj.dll C:\WINDOWS\system32\imgutilhx2.dll C:\WINDOWS\system32\xolehlpjh.dll C:\WINDOWS\system32\dispexcb.dll C:\WINDOWS\system32\cliconfgzx.dll C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp c:\windows\System32\Drivers\msiffei.sys c:\windows\system32\drivers\NPF.sys C:\WINDOWS\system32\gdipro.dll C:\WINDOWS\system32\sys07003.dll C:\WINDOWS\system32\mfc40loc.dll c:\windows\system32\srpcss.dll 修复注册表: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <kcien32><kncer32.exe> [] 将kcien32键值删除从[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]中删除键值 <{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}><C:\WINDOWS\system32\zofaianu.dll> [] <{00050005-0005-0005-0005-00050005BB15}><C:\WINDOWS\system32\cliconfgzx.dll> [File is missing] <{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}><C:\WINDOWS\system32\adsntzt.dll> [File is missing] <{D3112B69-A745-4805-874E-ABD480EA1299}><C:\WINDOWS\system32\bootvidgj.dll> [File is missing] <{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}><C:\WINDOWS\system32\certmgrkd.dll> [] <{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}><C:\WINDOWS\system32\avicapwm.dll> [] <{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll> [File is missing] <{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}><C:\WINDOWS\system32\dpvvoxmh.dll> [File is missing] <{71A78CD4-E470-4a18-8457-E0E0283DD507}><C:\WINDOWS\system32\lweurqhx.dll> [File is missing] <{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}><C:\WINDOWS\system32\tscfgwmijxsj.dll> [File is missing] <{DA56B183-A731-402b-9235-2CB8803E212D}><C:\WINDOWS\system32\imgutilhx2.dll> [File is missing] <{F0930A2F-D971-4828-8209-B7DFD266ED44}><C:\WINDOWS\system32\xolehlpjh.dll> [File is missing] <{76D44356-B494-443a-BEDC-AA68DE4255E6}><C:\WINDOWS\system32\dispexcb.dll> [File is missing] <{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}><C:\WINDOWS\system32\cliconfgzx.dll> [File is missing] 从[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]中删除键值 <pygvdsxs.dll><C:\WINDOWS\system32\zofaianu.dll> [] <cliconfgzx.dll><C:\WINDOWS\system32\cliconfgzx.dll> [File is missing] <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll> [File is missing] <bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll> [File is missing] <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll> [] <avicapwm.dll><C:\WINDOWS\system32\avicapwm.dll> [] <imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll> [File is missing] <jpkerkxk.dll><C:\WINDOWS\system32\zofaianu.dll> [] <qvrxpduj.dll><C:\WINDOWS\system32\zofaianu.dll> [] <hcihisoj.dll><C:\WINDOWS\system32\zofaianu.dll> [] <bpidufhz.dll><C:\WINDOWS\system32\zofaianu.dll> [] <mqzuhbva.dll><C:\WINDOWS\system32\zofaianu.dll> [] <dimygspd.dll><C:\WINDOWS\system32\zofaianu.dll> [] <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll> [File is missing] <lweurqhx.dll><C:\WINDOWS\system32\lweurqhx.dll> [File is missing] <tscfgwmijxsj.dll><C:\WINDOWS\system32\tscfgwmijxsj.dll> [File is missing] <plrhrebn.dll><C:\WINDOWS\system32\zofaianu.dll> [] <xolehlpjh.dll><C:\WINDOWS\system32\xolehlpjh.dll> [File is missing] <dispexcb.dll><C:\WINDOWS\system32\dispexcb.dll> [File is missing] <pvuzehed.dll><C:\WINDOWS\system32\zofaianu.dll> [] <zofaianu.dll><C:\WINDOWS\system32\zofaianu.dll> [] 用Sreng把三个服务删除 [IIS Manager / IIS Manager ][Stopped/Manual Start] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp><N/A> [msiffei / msiffei][Stopped/Manual Start] <System32\Drivers\msiffei.sys><N/A> [WinPcap Packet Driver (NPF) / NPF][Running/Manual Start] <system32\drivers\NPF.sys><CACE Technologies> 用Sreng将.txt ,.chm,.ini的文件关联修复好用Sreng将<AppInit_DLLs><offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll> [N/A] 修改,只剩下kmon.dll <AppInit_DLLs>< kmon.dll> [N/A] 对个人来讲，统计，仪器，高速的计算机可以让人们得到大量充裕的时间。这个社会中，更不可缺的是具备现代化的管理经验。
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:	发表于： 2008-08-11 23:25 \| 短消息资料字号：小中大 13楼回复: 日志分析练习引用: 原帖由 rainyblue 于 2008-8-11 18:34:00 发表第二个日志解决方案：使用Xdelbox删除以下文件 C:\WINDOWS\system32\zofaianu.dll C:\WINDOWS\system32\cliconfgzx.dll C:\WINDOWS\system32\adsntzt.dll C:\WINDOWS\system32\bootvidgj.dll C:\WINDOWS\syst...... C:\WINDOWS\SystemRoot\system32\DRIVERS\sr.sys是正常文件，不必删除 sreng本身就可以删除IFEO劫持项目
魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:

魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:	发表于： 2008-08-11 23:29 \| 短消息资料字号：小中大 14楼回复: 日志分析练习引用: 原帖由叶陵君于 2008-8-11 20:11:00 发表第二篇删除驱动 \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp System32\Drivers\msiffei.sys system32\drivers\ViBus.sys 用SRE日志工具置空AppInit_DLLs 删除以下动态链接库 C:\WINDOWS\system32\zofaianu.dll C:\WINDOWS\sys system32\drivers\ViBus.sys正常驱动
魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:

魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:	发表于： 2008-08-11 23:33 \| 短消息资料字号：小中大 15楼回复: 日志分析练习引用: 原帖由叶陵君于 2008-8-11 20:43:00 发表第三篇。感觉没什么问题删除如下驱动 \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat system32\DRIVERS\secdrv.sys \SystemRoot\system32\DRIVERS\HBKernel.sys 删除以下动态链接库 D:\瑞星杀毒\RISING\RAV\urutils.dll 浏览器加载项用户自行清理这个错得有点离谱 system32\DRIVERS\secdrv.sys D:\瑞星杀毒\RISING\RAV\urutils.dll 都是正常文件，第二个还是瑞星的
魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:

魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:	发表于： 2008-08-11 23:44 \| 短消息资料字号：小中大 16楼回复: 日志分析练习引用: 原帖由文物2 于 2008-8-11 22:32:00 发表第二个日志解决方案: 用xdelbox重启后删除 c:\windows\system32\kncer32.exe C:\WINDOWS\system32\zofaianu.dll C:\WINDOWS\system32\cliconfgzx.dll C:\WINDOWS\system32\adsntzt.dll C:\WINDOWS\system32\...... [WinPcap Packet Driver (NPF) / NPF][Running/Manual Start] <system32\drivers\NPF.sys><CACE Technologies> 这一项是正常的能看到c:\windows\system32\srpcss.dll很不错，但是加载这一项的服务你没有修改还原 [Remote Procedure Call (RPC) / RpcSs][Running/Auto Start] <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll><N/A>
魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:

叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:	发表于： 2008-08-12 00:32 \| 短消息资料字号：小中大 17楼回复：日志分析练习被网上的观点给左右了，还看到瑞星那个签名都没掉了。就大胆删了它。。
叶陵君锋芒艾服狮帖子:1561 注册: 2008-02-07 来自:

rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line	发表于： 2008-08-12 00:33 \| 短消息资料字号：小中大 18楼回复 13F 魔法学徒的帖子呵呵，多谢学长指正，我也不确定sr.sys是否病毒驱动，故采用先备份后删除的方法。我知道Sreng可以修复，但是劫持比较多的情况下，使用Sreng来修改比较累，所以还是推荐使用比较简单的软件来修复映像劫持。
rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line

魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:	发表于： 2008-08-12 00:47 \| 短消息资料字号：小中大 19楼回复: 日志分析练习引用: 原帖由 rainyblue 于 2008-8-12 0:33:00 发表呵呵，多谢学长指正，我也不确定sr.sys是否病毒驱动，故采用先备份后删除的方法。我知道Sreng可以修复，但是劫持比较多的情况下，使用Sreng来修改比较累，所以还是推荐使用比较简单的软件来修复映像劫持。病毒救援的原则是使用尽量少的第三方工具、将工具的每一项功能充分发挥顺便说一句，SREng可以一次选择多个项目，批量删除
魔法学徒卡卡技术团队帖子:11465 注册: 2004-10-03 来自:

rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line	发表于： 2008-08-12 01:11 \| 短消息资料字号：小中大 20楼回复 19F 魔法学徒的帖子 …………被这篇文章误导了http://nkevin.blog.163.com/blog/static/448194812007818115139284/
rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line

<<上一主题|下一主题>>

2 / 5 页

跳转页

页面顶部

Powered by Discuz!NT