7月9日日志分析练习10 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月9日日志分析练习10

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[练习] 7月9日日志分析练习10

本主题由大版主 lqqk7 于 2009-7-9 9:54:45 执行设置高亮操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2009-07-09 09:54 \| 只看楼主短消息资料字号：小中大 1楼 7月9日日志分析练习10 即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！附件: 您所在的用户组无法下载或查看附件 ========以下为参考分析结果======== 异常项见附件（仅保留日志中可疑度较高的项）注意： 1、文件虽然已经[File is missing]，但是注册表项还是要删除的；附件: 您所在的用户组无法下载或查看附件酷卡最后编辑于 2009-07-28 17:14:38 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

xiaomajia52 健康舞勺狮帖子:258 注册: 2009-06-17 来自:	发表于： 2009-07-09 10:56 \| 短消息资料字号：小中大 2楼回复：7月9日日志分析练习10 \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp 这个驱动文件有问题啊 C:\WINDOWS\system32\erdznUfbK0ZF.dll C:\WINDOWS\fonts\f13ERxR2Urh.fon C:\WINDOWS\system32\GrTZqH5SnRhAt.dll
xiaomajia52 健康舞勺狮帖子:258 注册: 2009-06-17 来自:

se7ensun 自信弱冠狮帖子:519 注册: 2008-11-02 来自:上海	发表于： 2009-07-09 19:03 \| 短消息资料字号：小中大 3楼回复：7月9日日志分析练习10 1 \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp 驱动有毒
se7ensun 自信弱冠狮帖子:519 注册: 2008-11-02 来自:上海

phoenixeagle 锋芒艾服狮帖子:2318 注册: 2009-06-23 来自:黄埔军校	发表于： 2009-07-09 20:41 \| 短消息资料字号：小中大 4楼回复：7月9日日志分析练习10 1、驱动<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp><N/A>不正常 2、浏览器加载项[] {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>有问题
phoenixeagle 锋芒艾服狮帖子:2318 注册: 2009-06-23 来自:黄埔军校

基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:	发表于： 2009-07-09 21:11 \| 短消息资料字号：小中大 5楼回复：7月9日日志分析练习10 用帖子里提供的工具删除以下文件（http://bbs.ikaka.com/showtopic-8442813.aspx） \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp \??\C:\WINDOWS\system32\drivers\pnpmem.sys 管删除成功与否，请重启下，然后使用SREng修复下面各项：启动项目－－服务－－驱动程序之如下项禁用： \??\C:\WINDOWS\system32\drivers\pnpmem.sys \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~49f7d0.tmp 敢问一下 2楼仁兄的那几个文件在哪发现的（超虔诚！）
基牛强壮不惑狮帖子:841 注册: 2009-06-19 来自:

精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:	发表于： 2009-07-09 22:12 \| 短消息资料字号：小中大 6楼回复：7月9日日志分析练习10 该用户帖子内容已被屏蔽青春就像卫生纸用着用着就没有了……
精神病院看门的禁止访问帖子:346 注册: 2009-06-11 来自:

凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠	发表于： 2009-07-10 00:07 \| 短消息资料字号：小中大 7楼回复: 7月9日日志分析练习10 *** 该内容需回复才可浏览 ***
凡尘之沙叱咤花甲狮帖子:6814 注册: 2008-09-14 来自:安徽蚌埠

Lighting_Cui 自信弱冠狮帖子:391 注册: 2009-06-10 来自:火星	发表于： 2009-07-10 02:22 \| 短消息资料字号：小中大 8楼回复：7月9日日志分析练习10 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll> [(Verified)Microsoft Windows Component Publisher] <{669029EE-81FB-496F-9AC4-FE838B16F231}><C:\WINDOWS\system32\erdznUfbK0ZF.dll> [File is missing] <{E11FB24A-F766-4D0F-ADF5-237958FFA262}><C:\WINDOWS\fonts\f13ERxR2Urh.fon> [File is missing] <{4E5CFE74-700B-4A8B-B0BF-A6B47D896C18}><C:\WINDOWS\system32\GrTZqH5SnRhAt.dll> [File is missing] 浏览器加载项。。。下面这个有点看不明白。。为什么(Signed) N/A？ [] {e2e2dd38-d088-4134-82b7-f2ba38496583} <%windir%\Network Diagnostic\xpnetdiag.exe, (Signed) N/A>
Lighting_Cui 自信弱冠狮帖子:391 注册: 2009-06-10 来自:火星

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-10 13:15 \| 短消息资料字号：小中大 9楼回复: 7月9日日志分析练习10 *** 该内容需回复才可浏览 ***
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-10 13:24 \| 短消息资料字号：小中大 10楼回复 8F Lighting_Cui 的帖子只是没有公司名罢了，有signed的基本上都是可以跳过的
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT