12   1  /  2  页   跳转

[练习] 7月9日 日志分析 练习1

收藏
本主题由 大版主 lqqk7 于 2009-7-9 9:54:45 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-09 09:47 | 只看楼主 短消息 资料
字号: 1楼

7月9日 日志分析 练习1

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


b]========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、C:\windows\system32\XPtoVista\Logonui.exe不一定是有问题的,应该问一下是否是求助者本人使用了美化的登陆界面;
2、虽然有几个劫持项,但是通过文件名判断,是用来免疫病毒的,不需要处理;

 附件: 您所在的用户组无法下载或查看附件
最后编辑酷卡 最后编辑于 2009-07-28 17:14:47
分享到:
gototop
 
精神病院看门的
头像
禁止访问
  • 帖子:346
  • 注册: 2009-06-11
  • 来自:
发表于: 2009-07-09 11:00 | 短消息 资料
字号: 2楼

回复: 7月9日 日志分析 练习1

该用户帖子内容已被屏蔽
青春就像卫生纸 用着用着就没有了……
gototop
 
xiaomajia52
头像
健康舞勺狮
  • 帖子:258
  • 注册: 2009-06-17
  • 来自:
发表于: 2009-07-09 11:03 | 短消息 资料
字号: 3楼

回复: 7月9日 日志分析 练习1

C:\windows\system32\ablkfkkd.dll
C:\windows\system32\ablkfkkd.dll
ablkfkkd.dll
gototop
 
phoenixeagle
头像
锋芒艾服狮
  • 帖子:2318
  • 注册: 2009-06-23
  • 来自:黄埔军校
09欢乐圣诞10温馨圣诞
发表于: 2009-07-09 11:28 | 短消息 资料
字号: 4楼

回复: 7月9日 日志分析 练习1

发现以下问题
1、  <SystemSpeedupWizard_CN><F:\系统加速精灵\SSW.exe>  []
    <Bdangel><F:\安装软件包\系统工具\上网提速王\bdan>  [File is missing]
很可疑
2、[DCOM Server Process Launcher / DcomLaunch][Running/Auto Start]
  <C:\windows\system32\svchost -k DcomLaunch-->%SystemRoot%\system32\rpcss.dll><Microsoft Corporation>后的加载执行的-->%SystemRoot%\system32\rpcss.dll有问题
3、[DHCP Client / Dhcp][Running/Auto Start]
  <C:\windows\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\dhcpcsvc.dll><Microsoft Corporation>
4、[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver][Running/System Start]
  <\??\F:\安装软件包\系统工具\AVGAntiSpyware-v7.5.1.43-green\AVG Anti-Spyware 7.5\guard.sys><N/A>
[klif / klif][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
5、浏览器加载项
[Web反病毒保护]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll, (Signed) Kaspersky Lab>
[]很可疑
gototop
 
凡尘之沙
头像
叱咤花甲狮
  • 帖子:6814
  • 注册: 2008-09-14
  • 来自:安徽 蚌埠
论坛8周年活动礼物
发表于: 2009-07-09 13:33 | 短消息 资料
字号: 5楼

回复: 7月9日 日志分析 练习1

***** 该内容需回复才可浏览 *****
gototop
 
言兮
头像
飘泊而立狮
  • 帖子:839
  • 注册: 2009-06-17
  • 来自:
发表于: 2009-07-09 14:10 | 短消息 资料
字号: 6楼

回复:7月9日 日志分析 练习1

感觉以下部分很可疑
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSDOS.bat]
    <IFEO[MSDOS.bat]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntldr.exe]
    <IFEO[ntldr.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pagefile.pif]
    <IFEO[pagefile.pif]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sos.exe]
    <IFEO[sos.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sxs.exe]
    <IFEO[sxs.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\test.exe]
    <IFEO[test.exe]><AUTOGUARDER GUARDED.>  [N/A]

进程
[PID: 1628][C:\WINDOWS\system32\shadow\ShadowService.exe]  [N/A, ]
[PID: 1648][F:\安装软件包\系统工具\CPU超线程\ProcessTamerTray.exe]  [, 1, 0, 0, 1]
问一下那个分析助手进程模块列表颜色表示什么
看下我电脑里这个值有问题不?
[HID Input Service / HidServ][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
寻找一个梦想存放年轻时的心,每一个回忆都是走过的成绩!
gototop
 
言兮
头像
飘泊而立狮
  • 帖子:839
  • 注册: 2009-06-17
  • 来自:
发表于: 2009-07-09 14:18 | 短消息 资料
字号: 7楼

回复:7月9日 日志分析 练习1

kaka6: 还有这个:
启动文件夹
[ProcessTamer]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ProcessTamer.lnk --> F:\安装软~1\系统工具\CPU超~1\PROCES~1.EXE []><N>
寻找一个梦想存放年轻时的心,每一个回忆都是走过的成绩!
gototop
 
基牛
头像
强壮不惑狮
  • 帖子:841
  • 注册: 2009-06-19
  • 来自:
发表于: 2009-07-09 14:38 | 短消息 资料
字号: 8楼

回复:7月9日 日志分析 练习1

删除C:\windows\system32\ablkfkkd.dll
并用SREngLogA修复AppInit_DLLs选项
下面也很可疑
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSDOS.bat]
    <IFEO[MSDOS.bat]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntldr.exe]
    <IFEO[ntldr.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pagefile.pif]
    <IFEO[pagefile.pif]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sos.exe]
    <IFEO[sos.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sxs.exe]
    <IFEO[sxs.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\test.exe]
    <IFEO[test.exe]><AUTOGUARDER GUARDED.>  [N/A]
gototop
 
skaka7941455
头像
健康舞勺狮
  • 帖子:295
  • 注册: 2008-08-11
  • 来自:
发表于: 2009-07-09 15:13 | 短消息 资料
字号: 9楼

回复: 7月9日 日志分析 练习1

<AppInit_DLLs><ablkfkkd.dll>  []
<{AB54F44D-652A-447F-B2D8-44FD96937ECE}><C:\windows\system32\ablkfkkd.dll>  []
<AB54F44D><C:\windows\system32\ablkfkkd.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSDOS.bat]
    <IFEO[MSDOS.bat]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ntldr.exe]
    <IFEO[ntldr.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pagefile.pif]
    <IFEO[pagefile.pif]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sos.exe]
    <IFEO[sos.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sxs.exe]
    <IFEO[sxs.exe]><AUTOGUARDER GUARDED.>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\test.exe]
    <IFEO[test.exe]><AUTOGUARDER GUARDED.>  [N/A]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1152, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-09 17:33 | 短消息 资料
字号: 10楼

回复:7月9日 日志分析 练习1

c:\windows\system32\userinit.exe 有可能被感染 建议发到http://www.virscan.org/ 检测下 有问题的话 找同系统文件替换之

删除以下文件
c:\windows\system32\ablkfkkd.dll

SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[AB54F44D]    <C:\windows\system32\ablkfkkd.dll>
[{AB54F44D-652A-447F-B2D8-44FD96937ECE}]    <C:\windows\system32\ablkfkkd.dll>
注意该项[AppInit_DLLs]修改:把<ablkfkkd.dll>修改为<>即清空
[IFEO[auto.exe]]    <AUTOGUARDER GUARDED.>
[IFEO[MSDOS.bat]]    <AUTOGUARDER GUARDED.>
[IFEO[ntldr.exe]]    <AUTOGUARDER GUARDED.>
[IFEO[pagefile.pif]]    <AUTOGUARDER GUARDED.>
[IFEO[sos.exe]]    <AUTOGUARDER GUARDED.>
[IFEO[sxs.exe]]    <AUTOGUARDER GUARDED.>
[IFEO[test.exe]]    <AUTOGUARDER GUARDED.>
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT