12   2  /  2  页   跳转

[练习] 7月8日 日志分析 练习2

收藏
本主题由 大版主 lqqk7 于 2009-7-8 12:46:38 执行 设置高亮 操作
331878347
头像
飘泊而立狮
  • 帖子:725
  • 注册: 2009-06-20
  • 来自:Sicau
发表于: 2009-07-08 17:13 | 短消息 资料
字号: 11楼

回复: 7月8日 日志分析 练习2

一点一点看,一点一点挑错,嘿嘿……

<Explorer><C:\WINDOWS\system32\drivers\TXP1atform.exe>  []
这一行,TXP1atform,搜索了一下,貌似这病毒挺著名挺顽强的。

<RisTray><"D:\工具\Rising\Ris\RsTray.exe" -system>  [File is missing]
再次发现“文件不存在”,奇怪??……

<updater><; C:\WINDOWS\system32\updater.exe>  [File is missing]
这个就是毒了,updater.exe是一种agobot-ot蠕虫病毒(百度百科)。也是missing了……?

  <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll>  []
    <{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon>  []
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>  []
    <{25BC5491-68B6-4416-BC69-6E8442312604}><C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll>  []
    <{0D267113-499A-4EEF-998D-C45731C1B313}><C:\WINDOWS\system32\VnTU2WAqUcZA6.dll>  []
    <{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll>  []
    <{93F33500-527E-4E33-AECA-69B15243A90E}><C:\WINDOWS\system32\cRsAQd4hw.dll>  []
    <{EBFD50DA-1206-4381-860D-77F92A2905D9}><C:\WINDOWS\system32\P2xnxaS5acXpS95.dll>  []
    <{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll>  []
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  []
    <{A9BCD26B-9EFB-4718-A9DB-67A61DB76C77}><C:\WINDOWS\fonts\vgUGf6VF2E.fon>  []
    <{37C5D66A-8B1B-4545-8112-3751194F6A4A}><C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>  []
    <{A23CA53C-731F-4033-92E8-C1DFB4E71D34}><C:\WINDOWS\system32\JBn2ypqY23vWX.dll>  []
    <{39C1640B-E010-48CF-88A1-0D17A33AF9EA}><C:\WINDOWS\system32\dktXFYbT3G.dll>  []
    <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll>  []
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}><C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon>  []
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  []
    <{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll>  []
    <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll>  []
    <{EC2B07DD-0051-405D-9C98-C8BBF9F27B9A}><C:\WINDOWS\system32\QsbvDcwq7umu.dll>  []
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><C:\WINDOWS\system32\E4814792.dll>  []
    <{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}><C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>  []
    <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll>  []
    <{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>  []
    <{480F828B-3E98-426A-AEBC-B4307DF4771D}><C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll>  []
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  []
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  []
    <{F1C149F4-380C-4F8A-B87E-7393732B27C1}><C:\WINDOWS\system32\GsfMwDWD3.dll>  []
    <{E45C0FF6-B170-43B2-B897-6D02C43A2E18}><C:\WINDOWS\system32\ybM7kf9heVHDx.dll>  []
    <{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}><C:\WINDOWS\system32\EN7hzSreCat8.dll>  []
    <{750DBD56-AF03-47CB-BB28-BBF312B059F9}><C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon>  []
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}><C:\WINDOWS\fonts\MbsV2QQJe.fon>  []
    <{51F88A10-09E6-4763-948F-1C8861003255}><C:\WINDOWS\fonts\MqppW9KYn.fon>  []
好小子,这是大户啊!!那些dll文件太不顺眼了……(字体几个,貌似也有问题)

[]
  {03507A1A-E0C5-4404-AA26-205385C0892D} <, >
[]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
  {0A155D3C-68E2-4215-A47A-E800A446447A} <, >
这几行,前面后面都有类似的,没整懂是啥玩意儿,应该是有问题滴。。

[C:\WINDOWS\system32\EN7hzSreCat8.dll]  [N/A, ]
    [C:\WINDOWS\system32\P2xnxaS5acXpS95.dll]  [N/A, ]
    [C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll]  [N/A, ]
    [C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon]  [N/A, ]
    [C:\WINDOWS\system32\dktXFYbT3G.dll]  [N/A, ]
    [C:\WINDOWS\system32\122B901E.dll]  [N/A, ]
    [C:\WINDOWS\system32\A0C86020.dll]  [N/A, ]
    [C:\WINDOWS\system32\xg4hAPNygs29.dll]  [N/A, ]
    [C:\WINDOWS\system32\GsfMwDWD3.dll]  [N/A, ]
    [C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
    [C:\WINDOWS\system32\JPccCJnKygDdp3.dll]  [N/A, ]
    [C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
    [C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
    [C:\WINDOWS\system32\taNjsFa2tT2Dh.dll]  [N/A, ]
    [C:\WINDOWS\system32\dhDhwS7fFW.dll]  [N/A, ]
    [C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon]  [N/A, ]
    [C:\WINDOWS\system32\qB5BKZy7vR5m.dll]  [N/A, ]
    [C:\WINDOWS\system32\E4814792.dll]  [N/A, ]
    [C:\WINDOWS\system32\ndxq9awMc.dll]  [N/A, ]
    [C:\WINDOWS\fonts\uXUsF2RrQy.fon]  [N/A, ]
    [C:\WINDOWS\system32\QsbvDcwq7umu.dll]  [N/A, ]
    [C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon]  [N/A, ]
    [C:\WINDOWS\system32\CDuAUVkGy9.dll]  [N/A, ]
    [C:\WINDOWS\system32\VnTU2WAqUcZA6.dll]  [N/A, ]
    [C:\WINDOWS\system32\cRsAQd4hw.dll]  [N/A, ]
    [C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
    [C:\WINDOWS\system32\ed78ab9.dll]  [N/A, ]
    [C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll]  [N/A, ]
    [C:\WINDOWS\fonts\vgUGf6VF2E.fon]  [N/A, ]
    [C:\WINDOWS\system32\Va7SpUWgCA5f.dll]  [N/A, ]
……
    [C:\WINDOWS\system32\ybM7kf9heVHDx.dll]  [N/A, ]
    [C:\WINDOWS\fonts\MbsV2QQJe.fon]  [N/A, ]
    [C:\WINDOWS\fonts\MqppW9KYn.fon]  [N/A, ]
又是一个大户,估计是跟上面遥相呼应。

    [C:\WINDOWS\system32\Va7SpUWgCA5f.dll]  [N/A, ]
    [C:\WINDOWS\fonts\vgUGf6VF2E.fon]  [N/A, ]
    [C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
    [C:\WINDOWS\system32\cRsAQd4hw.dll]  [N/A, ]
    [C:\WINDOWS\fonts\uXUsF2RrQy.fon]  [N/A, ]
    [C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon]  [N/A, ]
    [C:\WINDOWS\system32\taNjsFa2tT2Dh.dll]  [N/A, ]
    [C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
    [C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
    [C:\WINDOWS\system32\JPccCJnKygDdp3.dll]  [N/A, ]
    [C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
    [C:\WINDOWS\system32\GsfMwDWD3.dll]  [N/A, ]
    [C:\WINDOWS\system32\xg4hAPNygs29.dll]  [N/A, ]
    [C:\WINDOWS\system32\dktXFYbT3G.dll]  [N/A, ]
    [C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll]  [N/A, ]
    [C:\WINDOWS\system32\P2xnxaS5acXpS95.dll]  [N/A, ]
继续……(后面还有很多,大同小异,略去)

有遗漏的地方,希望老师同学批评指点,大家共同进步!谢谢
身体发肤,受之父母,不敢毁伤,孝至始也。
立身行道,扬名於后世,以显父母,孝之终也。
Click here to my blog.Welcome!!!
gototop
 
零度的穷浪漫
头像
自信弱冠狮
  • 帖子:499
  • 注册: 2009-06-25
  • 来自:
09欢乐圣诞
发表于: 2009-07-09 06:15 | 短消息 资料
字号: 12楼

回复:7月8日 日志分析 练习2

好多 [N/A, ]是什么问题?
gototop
 
精神病院看门的
头像
禁止访问
  • 帖子:346
  • 注册: 2009-06-11
  • 来自:
发表于: 2009-07-09 10:35 | 短消息 资料
字号: 13楼

回复: 7月8日 日志分析 练习2

该用户帖子内容已被屏蔽
最后编辑精神病院看门的 最后编辑于 2009-07-09 10:36:48
青春就像卫生纸 用着用着就没有了……
gototop
 
still刀刀
头像
自信弱冠狮
  • 帖子:478
  • 注册: 2009-07-02
  • 来自:一些狗一些事
发表于: 2009-07-14 12:11 | 短消息 资料
字号: 14楼

回复:7月8日 日志分析 练习2

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <Explorer><C:\WINDOWS\system32\drivers\TXP1atform.exe>  []
 

 
    <ISUSPM Startup><; C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup>  [InstallShield Software Corporation]
   
    <Grid Service><; "C:\Program Files\GridService\peer.exe" -n Grid>  [FS2YOU]



 
    <{E45C0FF6-B170-43B2-B897-6D02C43A2E18}><C:\WINDOWS\system32\ybM7kf9heVHDx.dll>  []
    <{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}><C:\WINDOWS\system32\EN7hzSreCat8.dll>  []
    <{750DBD56-AF03-47CB-BB28-BBF312B059F9}><C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon>  []
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}><C:\WINDOWS\fonts\MbsV2QQJe.fon>  []
    <{51F88A10-09E6-4763-948F-1C8861003255}><C:\WINDOWS\fonts\MqppW9KYn.fon>  []





[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360hotfix.exe]
    <IFEO[360hotfix.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safebox.exe]
    <IFEO[360safebox.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
    <IFEO[360tray.exe]><ntsd -d>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\agentsvr.exe]
    <IFEO[agentsvr.exe]><ntsd -d>  [N/A]


==================================
启动文件夹
N/A

==================================
服务





==================================
驱动程序

  <2 - 系统找不到指定的文件。
><N/A>



[klan / klan][Running/]
  <2 - 系统找不到指定的文件。
><N/A>


[SafeMon2 / SafeMon2][Running/]
  <2 - 系统找不到指定的文件。
><N/A>


==================================
浏览器加载项

[百度首页]
  {02496EBD-8455-48db-B3C7-5DAC97D9F5A7} <http://baidu.com/index.php?tn=LordFoxdg, N/A>

[]
  {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>



[]
  {03507A1A-E0C5-4404-AA26-205385C0892D} <, >



[访问通用网址]
  <, >

==================================
正在运行的进程

    [C:\WINDOWS\system32\GameLink.dll]  [www.Easy2Game.com, 17, 2, 6, 8]
    [C:\WINDOWS\system32\Va7SpUWgCA5f.dll]  [N/A, ]
[C:\Program Files\Kingsoft\KSWebShieldSVC\KSWBC.dll]  [N/A, ]
==================================
文件关联

.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
Easy2Game-TCPChain
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPChain
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPChain
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-TCPChain
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-TCPFilter
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPFilter
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-UDPFilter
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
Easy2Game-TCPFilter
    C:\WINDOWS\system32\GameLink.dll(www.Easy2Game.com, Easy2Game Service Provider)
gototop
 
零度的穷浪漫
头像
自信弱冠狮
  • 帖子:499
  • 注册: 2009-06-25
  • 来自:
09欢乐圣诞
发表于: 2009-07-27 15:36 | 短消息 资料
字号: 15楼

回复:7月8日 日志分析 练习2

<2 - 系统找不到指定的文件。
><N/A>
出现这种情况怎么解决?
gototop
 
乐陶猪
头像
拙长孩提狮
  • 帖子:127
  • 注册: 2009-07-02
  • 来自:
发表于: 2009-08-04 09:27 | 短消息 资料
字号: 16楼

回复:7月8日 日志分析 练习2

1. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []

2.. [EagleNT / EagleNT][Stopped/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>            //找不到指定文件,是什么意思?

3. <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll>  []
    <{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon>  []
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>  []
    <{25BC5491-68B6-4416-BC69-6E8442312604}><C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll>  []
    <{0D267113-499A-4EEF-998D-C45731C1B313}><C:\WINDOWS\system32\VnTU2WAqUcZA6.dll>  []
    <{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll>  []
    <{93F33500-527E-4E33-AECA-69B15243A90E}><C:\WINDOWS\system32\cRsAQd4hw.dll>  []
    <{EBFD50DA-1206-4381-860D-77F92A2905D9}><C:\WINDOWS\system32\P2xnxaS5acXpS95.dll>  []
    <{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll>  []
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  []
    <{A9BCD26B-9EFB-4718-A9DB-67A61DB76C77}><C:\WINDOWS\fonts\vgUGf6VF2E.fon>  []
    <{37C5D66A-8B1B-4545-8112-3751194F6A4A}><C:\WINDOWS\system32\taNjsFa2tT2Dh.dll>  []
    <{A23CA53C-731F-4033-92E8-C1DFB4E71D34}><C:\WINDOWS\system32\JBn2ypqY23vWX.dll>  []
    <{39C1640B-E010-48CF-88A1-0D17A33AF9EA}><C:\WINDOWS\system32\dktXFYbT3G.dll>  []
    <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll>  []
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}><C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon>  []
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  []
    <{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll>  []
    <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll>  []
    <{EC2B07DD-0051-405D-9C98-C8BBF9F27B9A}><C:\WINDOWS\system32\QsbvDcwq7umu.dll>  []
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><C:\WINDOWS\system32\E4814792.dll>  []
    <{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}><C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon>  []
    <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll>  []
    <{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>  []
    <{480F828B-3E98-426A-AEBC-B4307DF4771D}><C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll>  []
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  []
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  []
    <{F1C149F4-380C-4F8A-B87E-7393732B27C1}><C:\WINDOWS\system32\GsfMwDWD3.dll>  []
    <{E45C0FF6-B170-43B2-B897-6D02C43A2E18}><C:\WINDOWS\system32\ybM7kf9heVHDx.dll>  []
    <{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}><C:\WINDOWS\system32\EN7hzSreCat8.dll>  []
    <{750DBD56-AF03-47CB-BB28-BBF312B059F9}><C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon>  []
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}><C:\WINDOWS\fonts\MbsV2QQJe.fon>  []
    <{51F88A10-09E6-4763-948F-1C8861003255}><C:\WINDOWS\fonts\MqppW9KYn.fon>  []
gototop
 
防潮生生世世
头像
健康舞勺狮
  • 帖子:250
  • 注册: 2009-12-18
  • 来自:
发表于: 2010-03-01 22:23 | 短消息 资料
字号: 17楼

回复:7月8日 日志分析 练习2

我来看看大家的答案
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT