老师好。。
我想先说一下我的学习经验。。昨天晚上我在官网上下载了最新版的SREng,然后开始扫描,就碰到楼上说的扫描时间过长,扫了半个小时也没扫完,我就觉得不太对劲,于是关了重开,还是如此,一会儿我就没管它,之后我在运行窗口输入msconfig配置启动项,结果发现程序无法响应,一般情况下这是不可能的。。我想不会是中招了吧。。由于时间太晚,我太困了,所以暂时没去处理(
),直到今天早上开机,再次运行SREng,360开始弹出提示有异常程序要修改启动项,我于是肯定我真是中招了,本来还不太确定是不是官网上的SREng有问题,现在看楼上有几个类似情况,于是我觉得有70%的可能了。。我立即开360杀木马(不是我不想用瑞星,实在电脑里文件多,瑞星扫得有那么点慢了呃,嘿嘿。。
),果然杀出了一个,为了方便以后的学习,我暂时尚未处理,应该没啥问题吧。。。后来我便在
http://bbs.ikaka.com//showtopic-8442813.aspx上下了2.8版开始扫描,不用几分钟便扫完了,得以成功继续学习,呵呵。。
在学习过程中,我遇到以下问题,希望老师指导:
1. 在扫描日志的注册表中,如果文件属性版本中的公司显示[File is missing]这种情况,对于系统有没有威胁?需不需要处理?
2. 在扫描日志的服务中,有如下情况:
(1) [System Restore Service / srservice][Stopped/Disabled]
<C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>
照讲义所讲C:\windows\system32\svchost.exe是正常的系统文件,但是后面加载执行C:\WINDOWS\system32\srsvc.dll就有问题,对不对?但是其状态和启动类型是[Stopped/Disabled],那它具不具有威胁?
(2) [Dell Wireless WLAN Tray Service / wltrysvc][Running/Auto Start]
<C:\windows\System32\WLTRYSVC.EXE C:\windows\System32\bcmwltry.exe><N/A>
这个WLTRYSVC.EXE和bcmwltry.exe是不是病毒文件呢?因为我用的是笔记本电脑,可能会有其他配置程序的开启而导致SREng不识别,但我觉得也不能判定这两个程序是否安全吧?
3. 在扫描日志的浏览器加载项中,
[使用迅雷下载]
<C:\Program Files\Thunder\Program\geturl.htm, N/A>
[使用迅雷下载全部链接]
<C:\Program Files\Thunder\Program\getallurl.htm, N/A>
[发送到 Bluetooth 设备(&B)...]
<C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
<res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
<C:\Program Files\Tencent\QQ\Bin\AddEmotion.htm, N/A>
这些虽然标为可疑程序,但我们自己是能够辨别正常的。
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, (Signed) N/A>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>
可如果是如上这种我们自己也不认识的程序被标为可疑,我们该怎么办呢?
写了这么多,希望老师有耐心看完哟。。
===================以下内容为lqqk7回复==================1、[File is missing]表示文件不存在,没有威胁,通常是系统经过精简去掉了不必要的组件,或病毒文件删除后注册表项有残留,可以将此项删除。
2、
[System Restore Service / srservice][Stopped/Disabled]
<C:\windows\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>这个是系统还原服务,是正常的!讲义是举例,分析日志需要对系统正常项比较熟悉,这里是一个正常的系统服务,病毒同样也可以用同样的方法创建服务,只有对系统熟悉才能避免误判;
3、这个是无线网卡的托盘管理程序,并非SREng不识别,可能程序本身就不带有版本信息,要知道SREng就是扫描你的系统,把系统中原有的信息以日志的形式展现出来,它并不具备智能分析的能力,系统环境是什么样的日志就是什么样的,SREng并不能判断一个文件是否安全,判断的过程是人为完成的。
4、日志中出现N/A这个标识,并不是说它可疑,这个概念一定不要混淆,刚才已经说过了,SREng不具备智能分析的能力,它就是把系统环境以日志的形式呈现出来而已。至于这里为什么显示N/A,是因为这个文件本身不含有厂商和版本信息,所以显示为N/A。
5、注意一下后面显示的Signed,这就表示该项是可信任的,那如果你还有怀疑怎么办呢?可以通过百度或google搜索一下,多数情况下可以获得有价值的信息。如果有条件也可以直接提取文件样本发送到反病毒厂商进行检测。