瑞星卡卡安全论坛综合娱乐区活动专区实习生专区实习生交流区 日志分析---------惑而不从师,其为惑也,终不解矣

12   1  /  2  页   跳转

[问题/讨论] 日志分析---------惑而不从师,其为惑也,终不解矣

收藏
承德小涛
头像
自信弱冠狮
  • 帖子:357
  • 注册: 2010-01-13
  • 来自:
世界杯勋章
发表于: 2010-07-13 16:52 | 只看楼主 短消息 资料
字号: 1楼

日志分析---------惑而不从师,其为惑也,终不解矣

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTray><"D:\Rising\Rav\RsTray.exe" -system>  [(Verified)Beijing Rising Information Technology Corporation Limited]
    <360Safetray><"D:\360\360safe\safemon\360Tray.exe" /start>  [(Verified)Qizhi Software (beijing) Co. Ltd]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>  [(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
    <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /ShowWMP>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><C:\Windows\System32\ie4uinit.exe -UserIconConfig>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    <Browser Customizations><"C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Windows><"%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    <Windows Desktop Update><regsvr32.exe /s /n /i:U shell32.dll>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    <Web Platform Customizations><C:\Windows\System32\ie4uinit.exe -BaseSettings>  [(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install>  [(Verified)Microsoft Corporation]

这是我电脑的日志,一起分析下吧,讲义看了2便了,一直是云里雾里的,不那么明朗

刚看天月发的帖子上说,其数字签名验证处显示为:[],或[N/A]时,在看报告的时候,要特别小心
我这有好几个,大虾们,小虾们帮忙看看,分享下经验吧













                                                                                                                                -----人非生而知之者,孰能无惑?惑而不从师,其为惑也,终不解矣。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; 360SE)
分享到:
gototop
 
浪漫纸箱
头像
锋芒艾服狮
  • 帖子:2140
  • 注册: 2008-07-05
  • 来自:
论坛8周年活动礼物祖国六十华诞09欢乐圣诞10温馨圣诞十周年
发表于: 2010-07-13 17:01 | 短消息 资料
字号: 2楼

回复: 日志分析---------惑而不从师,其为惑也,终不解矣

以下仅代表个人意见:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
正常,其他的也应该没什么问题。
小涛你也别着急,看日志需要一段时间的积累才能看出问题,等到你能看出东西后,你就会觉得它很简单。
静下心,多积累。
最后编辑浪漫纸箱 最后编辑于 2010-07-13 17:02:41
纸箱签名处:
如何截图及以附件形式上传至论坛
gototop
 
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-07-13 17:02 | 短消息 资料
字号: 3楼

回复:日志分析---------惑而不从师,其为惑也,终不解矣

没啥问题 哪个不确定
gototop
 
leo108
头像
反毒学员
  • 帖子:648
  • 注册: 2010-01-11
  • 来自:
实习生小红花
发表于: 2010-07-13 17:02 | 短消息 资料
字号: 4楼

回复:日志分析---------惑而不从师,其为惑也,终不解矣

(Verified)是带签名的文件,一般没问题
有两个File is missing,路径也没什么问题
还有3个N/A,没有问题。
gototop
 
zeyu110
头像
健康舞勺狮
  • 帖子:301
  • 注册: 2010-05-23
  • 来自:
实习生小红花
发表于: 2010-07-13 17:08 | 短消息 资料
字号: 5楼

回复:日志分析---------惑而不从师,其为惑也,终不解矣

有问题吗?我怎么看不出来?
gototop
 
hellodel
头像
飘泊而立狮
  • 帖子:766
  • 注册: 2010-03-09
  • 来自:
论坛9周年纪念
发表于: 2010-07-13 17:13 | 短消息 资料
字号: 6楼

回复:日志分析---------惑而不从师,其为惑也,终不解矣

没什么问题!
3个【N/A】正常
两个【File is missing】也是正常的,themeui.dll是系统文件,WinMail.exe是Windows收发邮件的软件
最后编辑hellodel 最后编辑于 2010-07-13 17:14:27
gototop
 
pppqqq000
头像
初生襁褓狮
  • 帖子:88
  • 注册: 2010-06-24
  • 来自:
发表于: 2010-07-13 17:19 | 短消息 资料
字号: 7楼

回复:日志分析---------惑而不从师,其为惑也,终不解矣

没看出问题来,期待高手指点
gototop
 
hippo10
头像
初生襁褓狮
  • 帖子:116
  • 注册: 2010-06-22
  • 来自:
发表于: 2010-07-13 17:22 | 短消息 资料
字号: 8楼

回复:日志分析---------惑而不从师,其为惑也,终不解矣

三个没有公司名称
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WebCheck><>  [N/A]
最后一个百度了下,貌似是有使病毒注入EXPLORER的可能。

两个启动项显示FILE IS MISSING。第一个不知道是啥,第二个应该是WINDOWS自带的MAIL吧。。LZ应该是已经把这俩程序删了所以出现找不到文件这状况吧。。

初学者,大家多交流交流啊~~
gototop
 
springyun
头像
拙长孩提狮
  • 帖子:128
  • 注册: 2010-05-20
  • 来自:
发表于: 2010-07-13 20:09 | 短消息 资料
字号: 9楼

回复: 日志分析---------惑而不从师,其为惑也,终不解矣

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

<load><>
[N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTray><"D:\Rising\Rav\RsTray.exe" -system>[(Verified)Beijing Rising Information Technology Corporation Limited]                //瑞星杀毒启动项
    <360Safetray><"D:\360\360safe\safemon\360Tray.exe" /start>[(Verified)Qizhi Software (beijing) Co. Ltd]                  //360安全卫生启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><explorer.exe>[(Verified)Microsoft Windows]
    <Userinit><C:\Windows\system32\userinit.exe,>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>[N/A]                        //AppInit_DLLs值为空,正常
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      <WebCheck><>[N/A]                          //WebCheckwindows系统文件,对网站进行监视的COM端口
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
      <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /ShowWMP>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><C:\Windows\System32\ie4uinit.exe -UserIconConfig>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
    <Browser Customizations><"C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP>[(Verified)Microsoft Windows]    //iedkcs32.dllie个性化文件
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
      <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>[File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
      <Microsoft Windows><"%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE>[File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><%SystemRoot%\system32\unregmp2.exe /FirstLogon /Shortcuts /RegBrowsers /ResetMUI>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340}]
    <Windows Desktop Update><regsvr32.exe /s /n /i:U shell32.dll>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383}]
    <Web Platform Customizations><C:\Windows\System32\ie4uinit.exe -BaseSettings>[(Verified)Microsoft Windows]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install>[(Verified)Microsoft Corporation]

红色部分就实在看不懂了,希望有高手解答!!!!!
gototop
 
是昔流芳
头像
卡卡反病毒小组
  • 帖子:646
  • 注册: 2009-05-10
  • 来自:青鸾峰
发表于: 2010-07-14 07:44 | 短消息 资料
字号: 10楼

回复 9F springyun 的帖子

羽裳

这些可以不用管
My Blog
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT