12   1  /  2  页   跳转

[练习] 7月9日 日志分析 练习7

收藏
本主题由 大版主 lqqk7 于 2009-7-9 9:54:45 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-09 09:52 | 只看楼主 短消息 资料
字号: 1楼

7月9日 日志分析 练习7

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、C:\Program Files\IGALIVE\IGALIVE.sys和C:\Program Files\Wosou\ie_wosou.dll,没记错的话是流氓软件;
2、通过日志的驱动部分能看到很多老版本瑞星(至少是08版或更老)的驱动项,不知道求助者是刚刚重装了老版本还是以前的没有卸载干净,可以进一步询问;

 附件: 您所在的用户组无法下载或查看附件
最后编辑酷卡 最后编辑于 2009-07-28 17:11:59
分享到:
gototop
 
精神病院看门的
头像
禁止访问
  • 帖子:346
  • 注册: 2009-06-11
  • 来自:
发表于: 2009-07-09 21:04 | 短消息 资料
字号: 2楼

回复: 7月9日 日志分析 练习7

该用户帖子内容已被屏蔽
青春就像卫生纸 用着用着就没有了……
gototop
 
基牛
头像
强壮不惑狮
  • 帖子:841
  • 注册: 2009-06-19
  • 来自:
发表于: 2009-07-09 21:35 | 短消息 资料
字号: 3楼

回复: 7月9日 日志分析 练习7

***** 该内容需回复才可浏览 *****
gototop
 
凡尘之沙
头像
叱咤花甲狮
  • 帖子:6814
  • 注册: 2008-09-14
  • 来自:安徽 蚌埠
论坛8周年活动礼物
发表于: 2009-07-09 23:25 | 短消息 资料
字号: 4楼

回复: 7月9日 日志分析 练习7

***** 该内容需回复才可浏览 *****
gototop
 
Lighting_Cui
头像
自信弱冠狮
  • 帖子:391
  • 注册: 2009-06-10
  • 来自:火星
发表于: 2009-07-10 02:46 | 短消息 资料
字号: 5楼

回复:7月9日 日志分析 练习7

C:\WINDOWS\system32\drivers\w0zy.sys
C:\WINDOWS\system32\da77whcy.dll


这两个文件很奇怪。。
gototop
 
Lighting_Cui
头像
自信弱冠狮
  • 帖子:391
  • 注册: 2009-06-10
  • 来自:火星
发表于: 2009-07-10 02:47 | 短消息 资料
字号: 6楼

回复:7月9日 日志分析 练习7

看来我太仁慈。。。。。
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-10 12:48 | 短消息 资料
字号: 7楼

回复: 7月9日 日志分析 练习7

***** 该内容需回复才可浏览 *****
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-10 20:16 | 短消息 资料
字号: 8楼

回复: 7月9日 日志分析 练习7

觉得可疑的地方:
c:\windows\system32\bfd03\svchost.exe

d:\program files\rising\rav\hookcont.dll
d:\program files\rising\rav\rscommx.dll
d:\program files\rising\rav\rsvm.dll
d:\program files\rising\rav\spameng.dll        (这几个没有瑞星的签名,不是很确定)

c:\windows\system32\da77whcy.dll
c:\windows\system32\jrpavu79.dll

d:\program files\alisoft\wangwang\ali_res.dll
d:\program files\alisoft\wangwang\messagenotify.dll
d:\program files\alisoft\wangwang\ww_network.dll
d:\program files\alisoft\wangwang\zlib.dll    (这几个没有阿里旺旺的签名,不是很肯定)

d:\program files\tencent\qq\bqqapplication.dll
d:\program files\tencent\qq\cqqapplication.dll        (这两个没有qq的签名)

驱动非常的不清楚,拿出来这几项问问吧:

c:\windows\system32\drivers\w0zy.sys
c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\prchm19k.sys
c:\windows\system32\drivers\jrpavu79.sys
c:\program files\igalive\igalive.sys
d:\program files\rising\rav\hookreg.sys
d:\program files\rising\rav\expscan.sys
c:\windows\system32\drivers\eaglent.sys


[Yahoo Service / YahooSvr]    <C:\WINDOWS\system32\BFD03\svchost.exe>
[w0zy / w0zy]    <\??\C:\WINDOWS\system32\drivers\w0zy.sys>
[Secdrv / Secdrv]    <system32\DRIVERS\secdrv.sys>
[prchm19 / prchm19k]    <\SystemRoot\System32\DRIVERS\prchm19k.sys>
[jrpavu7 / jrpavu79]    <\SystemRoot\System32\DRIVERS\jrpavu79.sys>
[IGALIVE / IGALIVE]    <\??\C:\Program Files\IGALIVE\IGALIVE.sys>
[HookReg / HookReg]    <\??\D:\PROGRAM FILES\RISING\RAV\HookReg.sys>
[ExpScaner / ExpScaner]    <\??\D:\PROGRAM FILES\RISING\RAV\ExpScan.sys>
[EagleNT / EagleNT]    <\??\C:\WINDOWS\system32\drivers\EagleNT.sys>
gototop
 
se7ensun
头像
自信弱冠狮
  • 帖子:519
  • 注册: 2008-11-02
  • 来自:上海
发表于: 2009-07-11 15:01 | 短消息 资料
字号: 9楼

回复:7月9日 日志分析 练习7

4个驱动有问题
[jrpavu7 / jrpavu79][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\jrpavu79.sys><N/A>
[prchm19 / prchm19k][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\prchm19k.sys><N/A>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[w0zy / w0zy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\w0zy.sys><N/A>

进程
[PID: 1852 / LJJ][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\da77whcy.dll]  [N/A, ]
    [C:\WINDOWS\system32\jrpavu79.dll]  [, 1, 1, 1, 1054]
gototop
 
凡尘之沙
头像
叱咤花甲狮
  • 帖子:6814
  • 注册: 2008-09-14
  • 来自:安徽 蚌埠
论坛8周年活动礼物
发表于: 2009-07-15 15:40 | 短消息 资料
字号: 10楼

回复: 7月9日 日志分析 练习7



引用:
服务
[Yahoo Service / YahooSvr][Running/Auto Start]
<>

==================================
驱动程序
[IGALIVE / IGALIVE][Running/Auto Start]
<\??\C:\Program Files\IGALIVE\IGALIVE.sys>
[jrpavu7 / jrpavu79][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jrpavu79.sys>
[prchm19 / prchm19k][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\prchm19k.sys>
[w0zy / w0zy][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\w0zy.sys>

==================================
浏览器加载项
[WazapConfig Class]
{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}

==================================
正在运行的进程
[PID: 1852 / LJJ][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\WINDOWS\system32\da77whcy.dll] [N/A, ]
[C:\WINDOWS\system32\jrpavu79.dll] [, 1, 1, 1, 1054]
[PID: 1340 / SYSTEM][C:\WINDOWS\system32\BFD03\svchost.exe] [, 1.0.0.0]

==================================

答案里给出了了,但是我还是不知道怎么删除答案里的相关内容,也就是如果我的电脑出现上面的情况,我要怎么操作才能把电脑里的病毒、木马清理干净,请老师讲解一下,谢谢了。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT