即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！



 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）

注意：
1、AppInit_DLLs项不要直接删除，而是将其清空；
2、日志中出现了一些可疑项不宜判断是否是病毒，如C:\WINDOWS\sebs\pbhealth.dll，可以询问用户或网络搜索获得有价值的信息；

 附件: 您所在的用户组无法下载或查看附件

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <soundman><C:\WINDOWS\services.exe>  [File is missing]
为什么会出现这个项目~没见过啊~这个注册表路径~不懂

<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A] 被搞了...

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>


[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
这几个驱动可能有点问题，要上班了，来不及去查了...

API HOOK
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

这个一直搞不懂~

我认为可疑的文件如下
<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>      怀疑是玛雅木马
[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>      不知道为什么没有启动  肯能缺少了文件把
[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>
[wmpobj / wmpobj][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>这个肯定木马
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>
简单分析了一下    还希望lqqk7老师可以点评一下啊 

[GDGetTokenInfo Class]
  {3AA9CF07-DF20-48FF-98BE-DED276E40146} <C:\WINDOWS\system32\GDREAD~1.DLL, >
[InfoSecNetSign Class]
  {5CB840B5-A94E-4AD9-B785-4866E3B04476} <C:\WINDOWS\DOWNLO~1\ICBCNE~1.DLL, (Signed) Infosec Technologies Co., Ltd.>
[AxInputControl Class]
  {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\system32\INPUTC~1.DLL, >
这些~1是什么路径啊

<AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]这个地方不是很懂
<checkinstall><C:\Program Files\ICBCPe~1\ICBC\BHDC(Personal)\CheckInstall.exe>  [File is missing]
    <MenuOrder><C:\Program Files\ICBCPe~1\ICBC\BHDC(Personal)\MenuOrder\MenuOrder.exe>  [File is missing]很可疑
:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\RAR$EX00.500\SRENGLDR.EXE 删除
C:\WINDOWS\system32\sslsocket.dll广告病毒 删除
C:\WINDOWS\MayaBaby\MayaBabyDll.dat
C:\WINDOWS\system32\gdread~1.dll 可疑

用帖子里提供的工具删除以下文件（http://bbs.ikaka.com/showtopic-8442813.aspx）

C:\WINDOWS\MayaBaby\MayaBabyDll.dat
c:\windows\system32\sslsocket.dll
c:\windows\sebs\pbhealth.dll
c:\windows\system32\winlib .dll
c:\windows\system32\sysdajchv.dll
c:\windows\system32\msosping00.dll
c:\windows\system32\msosptfs00.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msoscqet00.dll
c:\windows\system32\msosfasq00.dll
c:\windows\system32\msosjtfo00.dll
c:\windows\system32\wipicdec.dll
c:\windows\services.exe
c:\windows\mayababy\mayababymain.exe
c:\windows\system32\drivers\acpidisk.sys
c:\program files\microsoft office\system\apcdli.sys
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys
c:\windows\system32\drivers\qxdcn.sys
c:\windows\system32\drivers\osurwo.sys
c:\windows\system32\drivers\osddtj.sys
c:\windows\system32\drivers\nsqslc.sys
c:\windows\system32\drivers\nskhbn.sys
c:\windows\system32\drivers\msomxh.sys
c:\windows\system32\drivers\mslxvh.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\drivers\msfljw.sys
c:\windows\system32\drivers\apaidi.sys
c:\windows\system32\drivers\acpidisk.sys
c:\windows\system32\drivers\parox.sys
c:\documents and settings\all users\application data\microsoft\office\userdata\webbrowser_2005.dll

2.不管删除成功与否，请重启下，然后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
注意该项[AppInit_DLLs]修改：把<SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>修改为<>即清空
[soundman]    <C:\WINDOWS\services.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[网络服务 / Network Services]    <C:\WINDOWS\MayaBaby\MayaBabyMain.exe>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：


[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
[qxdcn / qxdcn]    <\SystemRoot\system32\drivers\qxdcn.sys>
[osurwo / osurwo]    <\??\C:\WINDOWS\system32\drivers\osurwo.sys>
[osddtj / osddtj]    <\??\C:\WINDOWS\system32\drivers\osddtj.sys>
[nsqslc / nsqslc]    <\??\C:\WINDOWS\system32\drivers\nsqslc.sys>
[nskhbn / nskhbn]    <\??\C:\WINDOWS\system32\drivers\nskhbn.sys>
[msomxh / msomxh]    <\??\C:\WINDOWS\system32\drivers\msomxh.sys>
[mslxvh / mslxvh]    <\??\C:\WINDOWS\system32\drivers\mslxvh.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[msfljw / msfljw]    <\??\C:\WINDOWS\system32\drivers\msfljw.sys>
[Apaidi / Apaidi]    <\??\C:\WINDOWS\system32\drivers\Apaidi.sys>
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[apcdli / apcdli]    <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys>
[wmpobj / wmpobj]    <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
[parox / parox]      <\SystemRoot\system32\drivers\parox.sys><N/A>

    系统修复－－　浏览器加载项之如下项删除：
[Info cache]    <C:\WINDOWS\sebs\pbhealth.dll>
[InceSurfer Class]    <C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll>

可疑的地方：

  <AppInit_DLLs><SysDaJcHv.dll,msosping00.dll,msosptfs00.dll,msosmnsf00.dll,msoscqet00.dll,msosfasq00.dll,msosjtfo00.dll,wipicdec.dll>  [N/A]
[网络服务 / Network Services][Stopped/Auto Start]
  <C:\WINDOWS\MayaBaby\MayaBabyMain.exe><N/A>


这些驱动也许是木马

[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[Apaidi / Apaidi][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>
[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\Program Files\Tencent\QQ\npkycryp.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>


hosts文件缺少默认的一行

该用户帖子内容已被屏蔽

有些不确定的东西还是先搜索下吧，照这样删，估计系统没几个不崩溃了