关于双IE及异常桌面图标扫描日志工具的一些使用。 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于双IE及异常桌面图标扫描日志工具的一些使用。

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[原创] 关于双IE及异常桌面图标扫描日志工具的一些使用。

本主题由版主天月来了于 2010-1-1 15:20:55 执行设置高亮操作

快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:	发表于： 2010-01-01 14:51 \| 只看楼主短消息资料字号：小中大 1楼关于双IE及异常桌面图标扫描日志工具的一些使用。天月大人，麻烦问一下，用双IE及异常桌面图标扫描日志工具后，怎么分析这个东东上的日志？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 天月来了最后编辑于 2010-01-01 15:20:37
快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:	分享到：

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-01 15:02 \| 短消息资料字号：小中大 2楼回复：双IE及异常桌面图标扫描日志工具这个工具的应用，我们可以举个例子看比如这贴： http://bbs.ikaka.com/showtopic-8687256.aspx 他的日志显示，CLSID中包含IE浏览器主程序iexplore.exe的所有项目中，下面项目的值是异常的： [键]HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4F6E-B11B-41370D5F9A1A}\SHELL\打开主页(&H)\COMMAND [值]@ [内容]c:\program files\internet explorer\iexplore.exe http://www.dh818.com/?69 [类型]REG_SZ 并且我们看到，涉及桌面图标的注册表项中，有下面这项存在： [键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\DESKTOP\NAMESPACE\{112FDC99-4915-4F6E-B11B-41370D5F9A1A} [值]@ [内容]msxml60 [类型]REG_SZ 那么我们已经可以确定，需要删除那两个路径下的注册表键了，就是删除{112FDC99-4915-4F6E-B11B-41370D5F9A1A} 并根据我们日常的样本测试中总结的SRENG工具扫描不到的注册表开机启动项中，他的系统增加了下面的启动项了： [键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON [值]SHELL [内容]explorer.exe,c:\windows\system32\360wdtray.exe [类型]REG_SZ 因此，还需要删除那个项目以及文件，就是删除：注册表内： HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL 文件： c:\windows\system32\360wdtray.exe 还有需要问的吗？？？天月来了最后编辑于 2010-01-01 15:16:12 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:	发表于： 2010-01-01 15:06 \| 只看楼主短消息资料字号：小中大 3楼回复：双IE及异常桌面图标扫描日志工具 ~~基本上是懂了些~~
快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:

快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:	发表于： 2010-01-01 15:09 \| 只看楼主短消息资料字号：小中大 4楼回复: 双IE及异常桌面图标扫描日志工具引用: 并根据我们日常的样本测试中总结的SRENG工具扫描不到的注册表开机启动项中，他的系统增加了下面的启动项了： [键]HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON [值]SHELL [内容]explorer.exe,c:\windows\system32\360wdtray.exe [类型]REG_SZ 因此，还需要删除那个项目以及文件，就是删除：注册表内： HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL 文件： c:\windows\system32\360wdtray.exe ~~这些有点看不懂~~ 麻烦再有更直接的理解吗？
快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-01 15:13 \| 短消息资料字号：小中大 5楼回复: 双IE及异常桌面图标扫描日志工具那个位置的注册表项你导入下面这个注册表文件然后去注册表相同路径下一看即知附件: 特殊测试.rar (2010-1-1 15:13:08, 256 B) 该附件被下载次数 201 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:	发表于： 2010-01-01 15:14 \| 只看楼主短消息资料字号：小中大 6楼回复：双IE及异常桌面图标扫描日志工具 ~~哦，谢谢天月大人指导~~
快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2010-01-01 15:23 \| 短消息资料字号：小中大 7楼回复：关于双IE及异常桌面图标扫描日志工具的一些使用。此工具可以在配置文件内经过设置后，增加新的需要扫描的注册表项。超方便的一个工具只是它的使用需要一点基础知识了。百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

木马bbbb 强壮不惑狮帖子:1168 注册: 2008-02-26 来自:瑞星火星用户	发表于： 2010-01-01 15:28 \| 短消息资料字号：小中大 8楼回复：双IE及异常桌面图标扫描日志工具请问版主，每台计算机关于iexplore.exe进程的的CLSID值都是不一样的吧。还是有规定的。
木马bbbb 强壮不惑狮帖子:1168 注册: 2008-02-26 来自:瑞星火星用户

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2010-01-01 15:34 \| 短消息资料字号：小中大 9楼回复: 关于双IE及异常桌面图标扫描日志工具的一些使用。二嫂大姐是图中这个意思吗？我给某位远程求救的扫了份然后用的您置顶贴的一个工具Fix_IE给他弄的效果不错可以做个注册表Reg文件给它反过去吗这样方便点 [键]HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\HIDEDESKTOPICONS\NEWSTARTPANEL [值]{20D04FE0-3AEA-1069-A2D8-08002B30309D} [内容]0x00000001 [类型]REG_DWORD 111.jpg (292.12 K) 2010-1-1 15:33:32
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:	发表于： 2010-01-01 15:53 \| 只看楼主短消息资料字号：小中大 10楼回复：关于双IE及异常桌面图标扫描日志工具的一些使用。 ~~天月大人，我已学会，谢谢~~
快乐未来雨自信弱冠狮帖子:367 注册: 2009-10-30 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT