即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！

附件: log6.log (2009-7-8 12:43:59, 56.42 K)
该附件被下载次数 277

========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）

注意：
1、劫持项很多，手动处理会比较麻烦，可以参考反病毒区置顶帖，使用工具快速清除劫持项；
2、C:\WINDOWS\system32\mapi32.dll是系统正常文件，不要删除，只修复winsock即可；
3、C:\WINDOWS\system32\winlogon.exe是系统进程，隐藏肯定是不正常的，但是绝不要删除这个文件，可以将日志中目前可见得异常处理后再次扫描新的日志进行判断；

附件: 参考.log (2009-7-13 15:49:15, 34.90 K)
该附件被下载次数 215

又是镜像劫持~

Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
指向的文件肯定是病毒产生的....

[232] \??\C:\WINDOWS\system32\winlogon.exe
这个怎么成隐藏进程了？有问题~

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]    可疑  rundll 可能被改过了
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
    <IFEO[360safe.exe]><svchost.exe>  [(Verified)Microsoft Windows Publisher]
安全软件的文件名全部都  映像劫持了
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[232] \??\C:\WINDOWS\system32\winlogon.exe

IFEO劫持修复：http://bbs.ikaka.com/showtopic-8442813-1.aspx#3637453


在相同的系统中找到以下文件进行替换，替换工具：http://bbs.ikaka.com/showtopic-8442813-2.aspx#9176804
c:\windows\system32\appmgmts.dll
c:\windows\system32\w32time.dll
c:\windows\system32\wiaservc.dll
c:\windows\system32\srsvc.dll
c:\windows\system32\schedsvc.dll
C:\WINDOWS\system32\mapi32.dll

用帖子里提供的工具删除以下文件（http://bbs.ikaka.com/showtopic-8442813.aspx）

c:\windows\system32\appwinproc.dll
c:\autorun.inf
d:\autorun.inf
e:\autorun.inf
c:\system.dll
d:\system.dll
e:\system.dll
c:\windows\system32\nspass4.sys
c:\windows\system32\nspass3.sys
c:\windows\system32\nspass1.sys
c:\windows\system32\nspass0.sys
c:\windows\system32\nskhelper2.sys
c:\progra~1\intern~1\plugins\b54321.bho
c:\program files\internet explorer\vv54321t.321
c:\program files\internet explorer\explo2emt.456

2.不管删除成功与否，请重启下，然后使用SREng修复下面各项：

启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[NsPsDk04 / NsPsDk04]    <\??\C:\WINDOWS\system32\NsPass4.sys>
[NsPsDk03 / NsPsDk03]    <\??\C:\WINDOWS\system32\NsPass3.sys>
[NsPsDk01 / NsPsDk01]    <\??\C:\WINDOWS\system32\NsPass1.sys>
[NsPsDk00 / NsPsDk00]    <\??\C:\WINDOWS\system32\NsPass0.sys>
[NsRk1 / NsRk1]    <\??\C:\WINDOWS\system32\Nskhelper2.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho>
[]    <C:\Program Files\Internet Explorer\Vv54321t.321>
[]    <C:\Program Files\Internet Explorer\Explo2eMt.456>
[]    <C:\PROGRA~1\INTERN~1\PLUGINS\b54321.bho>

  系统修复－－winsock供应者---重置内容为默认值

镜像劫持需要修复
这些也许是木马：
[NsRk1 / NsRk1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>



C:\WINDOWS\system32\appwinproc.dll


还有这些应该是病毒了
Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore


隐藏进程
    [232] \??\C:\WINDOWS\system32\winlogon.exe

IFEO 映像劫持.
驱动程序
[Altera ByteBlaster / AlteraByteBlaster][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\pgdhdlc.sys><Altera Corporation> 这块看不怎么懂.
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.CHM  Error. ["hh.exe" %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1] 
这几个好像是安装了Ultraedit 之后就这样了.

Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
==================================
Autorun.inf 也有问题./


隐藏进程
    [232] \??\C:\WINDOWS\system32\winlogon.exe    怪异啊.这个咋隐藏了呢?

该用户帖子内容已被屏蔽

服务
[Application Management / AppMgmt][Stopped/Manual Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>
没有版本信息    这个是系统文件 应该有版本信息的


  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\system32\schedsvc.dll><N/A>

  <C:\WINDOWS\system32\svchost.exe -k imgsvc-->%SystemRoot%\system32\wiaservc.dll><N/A>
这两个为什么不可疑？
==================================@！#@￥#￥55
驱动程序


[AsIO / AsIO][Stopped/System Start]
  <system32\drivers\AsIO.sys><N/A>
[ATK0110 ACPI UTILITY / MTsensor][Running/Manual Start]
  <system32\DRIVERS\ASACPI.sys><>
[npkcrypt / npkcrypt][Stopped/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><N/A>
[Sense3 / Sense3][Stopped/Auto Start]
  <System32\Drivers\sense3.sys><N/A>
[Superk5 / Superk5][Stopped/Auto Start]
  <\SystemRoot\System32\drivers\superk5.sys><N/A>以上没问题 为什么！？
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>以上有问题

1.好多劫持项，我就不复制了
2.没公司签名的也不再提了
3.[NsRk1 / NsRk1][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Nskhelper2.sys><N/A>
[NsPsDk00 / NsPsDk00][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass0.sys><N/A>
[NsPsDk01 / NsPsDk01][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass1.sys><N/A>
[NsPsDk03 / NsPsDk03][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass3.sys><N/A>
[NsPsDk04 / NsPsDk04][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\NsPass4.sys><N/A>这个是什么？查不出来
4.BHO是什么来着？
[]
  {16FF142F-BEBD-47CE-A3A6-D52A1A2ECB54} <C:\Program Files\Internet Explorer\Vv54321t.321, N/A>有问题
[]
  {00000AAA-A363-466E-BEF5-9BB68697AA7F} <, >
[]
  {01443AEC-0FD1-40FD-9C87-E93D1494C233} <, >
[]
  {03507A1A-E0C5-4404-AA26-205385C0892D} <, >这些要删掉吧？
还有好多类似的，应该是没什么用
5.Winsock 提供者
MSAPI Tcpip [TCP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
    C:\WINDOWS\system32\mapi32.dll(, N/A)
MSAPI是什么没有查到诶
6.Autorun.inf
[C:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[D:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
[E:\]
[autorun]
shell\open\command=rundll32 system.dll,explore
shell\explore\command=rundll32 system.dll,explore
中毒了……
该病毒在 [C:\],[D:\],[E:\],即 C,D,E,这3个分区下面,分别创建了:1.Autorun.inf2.rundll32 system.dll,explore
2个文件.至于清理方法,分三种,
◆利用DOS命令行删除:参考这里:http://nkevin.blog.163.com/blog/static/4481948120071079529795
◆利用批处理文件删除:批处理
cd\
c:
attrib -a -s -h -r *.inf
attrib -a -s -h -r rundll32 system.dll
del *.inf
del rundll32 system.dll
d:
attrib -a -s -h -r *.inf
attrib -a -s -h -r rundll32 system.dll
del *.inf
del rundll32 system.dll
e:
attrib -a -s -h -r *.inf
attrib -a -s -h -r rundll32 system.dll
del *.inf
del rundll32 system.dll
echo 如果至此未出现：找不到文件……则证明其他分区下病毒已经删除，请重启电脑，再次执行此程序，如果全是“找不到文件”，就证明彻底删除了。
7.HOSTS 文件
N/A又是这样
8.隐藏进程
    [232] \??\C:\WINDOWS\system32\winlogon.exe
被隐藏？怎么修改？