即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！


 附件: 您所在的用户组无法下载或查看附件


以下为参考处理方案（仅列出需要删除的文件和注册表项等，具体使用什么工具请自行根据实际情况选择）

 附件: 您所在的用户组无法下载或查看附件

[C:\]
[AuToRun]
open=RunDll32.exe .\Thumbs.lnk,GetPic
shell\open=打开(&O)
shell\open\Command=RunDll32.exe .\Thumbs.lnk,GetPic
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=RunDll32.exe .\Thumbs.lnk,Explorer
[D:\]
[AuToRun]
open=RunDll32.exe .\Thumbs.lnk,GetPic
shell\open=打开(&O)
shell\open\Command=RunDll32.exe .\Thumbs.lnk,GetPic
shell\open\Default=1
shell\explore=资源管理器(&X)

这个autorun是不是打开图片的啊

删除注册表项：
注意该项[AppInit_DLLs]修改：把<C:\WINDOWS\system32\IPv6.dll>修改为<>即清空
[WinlogonNotify: cryptnet21]    <C:\WINDOWS\system32\cryptnet21.dll>

修复winsock

开始操作之前，先把网络断开；
———————————————————————————————————————
使用暴力文件删除工具删除以下文件：
———————————————————————————————————————
C:\Program Files\PPLiveVA\NetTools.dll
C:\Program Files\PPLiveVA\TipsClient.dll
C:\Program Files\PPLiveVA\PPLiveVAMonitor.exe
C:\WINDOWS\system32\IPv6.dll
C:\WINDOWS\system32\cryptnet21.dll
c:\Thumbs.lnk
c:\autorun.inf
d:\Thumbs.lnk
d:\autorun.inf
e:\Thumbs.lnk
e:\autorun.inf
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，将以下项删除：
[WinlogonNotify: cryptnet21]    <C:\WINDOWS\system32\cryptnet21.dll>
———————————————————————————————————————
打开SREng，选择【启动项目】-【注册表】，编辑以下项，将其值改为空：
注意：一定不要删除这些项，将其值改为空即可！
[AppInit_DLLs]
———————————————————————————————————————