12   1  /  2  页   跳转

7月8日 日志分析 练习6

7月8日 日志分析 练习6

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


附件: log6.log (2009-7-8 12:43:59, 56.42 K)
该附件被下载次数 282




========以下为参考分析结果========
异常项见附件(仅保留日志中可疑度较高的项)

注意:
1、劫持项很多,手动处理会比较麻烦,可以参考反病毒区置顶帖,使用工具快速清除劫持项;
2、C:\WINDOWS\system32\mapi32.dll是系统正常文件,不要删除,只修复winsock即可;
3、C:\WINDOWS\system32\winlogon.exe是系统进程,隐藏肯定是不正常的,但是绝不要删除这个文件,可以将日志中目前可见得异常处理后再次扫描新的日志进行判断;

附件: 参考.log (2009-7-13 15:49:15, 34.90 K)
该附件被下载次数 228

最后编辑酷卡 最后编辑于 2009-07-28 16:58:15
分享到:
gototop
 

回复:7月8日 日志分析 练习6

又是镜像劫持~

Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
指向的文件肯定是病毒产生的....

[232] \??\C:\WINDOWS\system32\winlogon.exe
这个怎么成隐藏进程了?有问题~
gototop
 

回复: 7月8日 日志分析 练习6

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]    可疑  rundll 可能被改过了
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
安全软件的文件名全部都  映像劫持了
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[232] \??\C:\WINDOWS\system32\winlogon.exe
gototop
 

回复: 7月8日 日志分析 练习6

IFEO劫持修复:http://bbs.ikaka.com/showtopic-8442813-1.aspx#3637453


在相同的系统中找到以下文件进行替换,替换工具:http://bbs.ikaka.com/showtopic-8442813-2.aspx#9176804
c:\windows\system32\appmgmts.dll
c:\windows\system32\w32time.dll
c:\windows\system32\wiaservc.dll
c:\windows\system32\srsvc.dll
c:\windows\system32\schedsvc.dll
C:\WINDOWS\system32\mapi32.dll

用帖子里提供的工具删除以下文件(http://bbs.ikaka.com/showtopic-8442813.aspx

c:\windows\system32\appwinproc.dll
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
c:\system.dll
d:\system.dll
e:\system.dll
c:\windows\system32\nspass4.sys
c:\windows\system32\nspass3.sys
c:\windows\system32\nspass1.sys
c:\windows\system32\nspass0.sys
c:\windows\system32\nskhelper2.sys
c:\progra~1\intern~1\plugins\b54321.bho
c:\program files\internet explorer\vv54321t.321
c:\program files\internet explorer\explo2emt.456

2.不管删除成功与否,请重启下,然后使用SREng修复下面各项:

启动项目 -- 服务-- 驱动程序之如下项禁用:
[NsPsDk04 / NsPsDk04]    <\??\C:\WINDOWS\system32\NsPass4.sys>
[NsPsDk03 / NsPsDk03]    <\??\C:\WINDOWS\system32\NsPass3.sys>
[NsPsDk01 / NsPsDk01]    <\??\C:\WINDOWS\system32\NsPass1.sys>
[NsPsDk00 / NsPsDk00]    <\??\C:\WINDOWS\system32\NsPass0.sys>
[NsRk1 / NsRk1]    <\??\C:\WINDOWS\system32\Nskhelper2.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho>
[]    <C:\Program Files\Internet Explorer\Vv54321t.321>
[]    <C:\Program Files\Internet Explorer\Explo2eMt.456>
[]    <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho>

  系统修复--winsock供应者---重置内容为默认值
gototop
 

回复: 7月8日 日志分析 练习6

***** 该内容需回复才可浏览 *****
gototop
 

回复: 7月8日 日志分析 练习6

镜像劫持需要修复
这些也许是木马:
[NsRk1 / NsRk1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>



C:\WINDOWS\system32\appwinproc.dll


还有这些应该是病毒了
Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore


隐藏进程
    [232] \??\C:\WINDOWS\system32\winlogon.exe

gototop
 

回复:7月8日 日志分析 练习6

IFEO 映像劫持.
驱动程序
[Altera ByteBlaster / AlteraByteBlaster][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\pgdhdlc.sys><Altera Corporation> 这块看不怎么懂.
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.CHM  Error. ["hh.exe" %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1] 
这几个好像是安装了Ultraedit 之后就这样了.

Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
==================================
Autorun.inf 也有问题./


隐藏进程
    [232] \??\C:\WINDOWS\system32\winlogon.exe    怪异啊.这个咋隐藏了呢?
gototop
 

回复: 7月8日 日志分析 练习6

该用户帖子内容已被屏蔽
青春就像卫生纸 用着用着就没有了……
gototop
 

回复:7月8日 日志分析 练习6

服务
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
没有版本信息    这个是系统文件 应该有版本信息的


  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>

  <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>
这两个为什么不可疑?
==================================@!#@¥#¥55
驱动程序


[AsIO / AsIO][Stopped/System Start]
  <system32\drivers\AsIO.sys><N/A>
[ATK0110 ACPI UTILITY / MTsensor][Running/Manual Start]
  <system32\DRIVERS\ASACPI.sys><>
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><N/A>
[Sense3 / Sense3][Stopped/Auto Start]
  <System32\Drivers\sense3.sys><N/A>
[Superk5 / Superk5][Stopped/Auto Start]
  <\SystemRoot\System32\drivers\superk5.sys><N/A>以上没问题 为什么!?
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>以上有问题
gototop
 

回复:7月8日 日志分析 练习6

1.好多劫持项,我就不复制了
2.没公司签名的也不再提了
3.[NsRk1 / NsRk1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>这个是什么?查不出来
4.BHO是什么来着?
[]
  {16FF142F-BEBD-47CE-A3A6-D52A1A2ECB54} <C:\Program Files\Internet Explorer\Vv54321t.321, N/A>有问题
[]
  {00000AAA-A363-466E-BEF5-9BB68697AA7F} <, >
[]
  {01443AEC-0FD1-40FD-9C87-E93D1494C233} <, >
[]
  {03507A1A-E0C5-4404-AA26-205385C0892D} <, >这些要删掉吧?
还有好多类似的,应该是没什么用
5.Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
MSAPI是什么没有查到诶
6.Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
中毒了……
该病毒在 [C:\],[D:\],[E:\],即 C,D,E,这3个分区下面,分别创建了:1.Autorun.inf2.rundll32 system.dll,explore
2个文件.至于清理方法,分三种,
◆利用DOS命令行删除:参考这里:http://nkevin.blog.163.com/blog/static/4481948120071079529795
◆利用批处理文件删除:批处理
cd\
c:
attrib -a -s -h -r *.inf
attrib -a -s -h -r rundll32 system.dll
del *.inf
del rundll32 system.dll
d:
attrib -a -s -h -r *.inf
attrib -a -s -h -r rundll32 system.dll
del *.inf
del rundll32 system.dll
e:
attrib -a -s -h -r *.inf
attrib -a -s -h -r rundll32 system.dll
del *.inf
del rundll32 system.dll
echo 如果至此未出现:找不到文件……则证明其他分区下病毒已经删除,请重启电脑,再次执行此程序,如果全是“找不到文件”,就证明彻底删除了。
7.HOSTS 文件
N/A又是这样
8.隐藏进程
    [232] \??\C:\WINDOWS\system32\winlogon.exe
被隐藏?怎么修改?
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT