感觉在病毒区回帖分析日志的总是就那几个实习生，很多人好像没怎么露过头，不知道是出于什么原因........
如果确实想学日志分析，但是担心回帖有错误的，可以到这里来练习。
每天我会从其他版块找几个日志贴过来，所有实习生都可以来分析一下，不用怕出错，这个东西本身就是要靠多积累经验的。
每天挑选的日志数量不等，也不一定都有问题，完全是我随机抽取的。
诸位可以放心大胆的来练习，把自己的分析结果贴上来一起交流，结果是不计分的，完全不要有顾虑！
其他版主有空的话也继续补充吧，给实习生们更多练习的机会，实习生群里的人数都上百了，真正认真回帖的却总是就那几个人，可能很多人都是怕出错吧。


本期练习参考分析结果见：34楼，35楼，36楼
仅供参考，且不提供具体处理步骤；

======================================
日志分析练习索引：
20080811
20080812
20080813
20080815
======================================

hoho刚好我看到了 练一练

No.1 删除
c:\windows\system32\tdfhex.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
c:\program files\internet explorer\explorent.win
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\plugins\winnt64.sys
c:\program files\internet explorer\explorent.dat
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\rmjgvdmm.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\120196.dat
c:\windows\system32\raaryuep.dll

删后修复
注册表
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>

驱动
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>

浏览器加载项
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>

第一个日志的处理：
使用Xdelbox重启后删除以下文件
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2F.sys
C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\WINDOWS\system32\120133.dat
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\qnxtkxyx.dll
C:\WINDOWS\system32\mrejlzk\svchost.exe
C:\WINDOWS\system32\offscrlk.exe

使用Sreng在注册表启动项目中
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的
      <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{0B846B26-BFE6-4E8E-A948-1DB17B77B483}><C:\WINDOWS\system32\tdfhex.dll>  []
删除IE加载项中含有以下文件的项目（或者可以通过卡卡助手修复IE）
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat,
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys

第二个日志解决方案：
使用Xdelbox删除以下文件
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\tscfgwmijxsj.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\xolehlpjh.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
C:\WINDOWS\system32\gdipro.dll
C:\WINDOWS\system32\sys07003.dll
[C:\WINDOWS\system32\mfc40loc.dll
C:\WINDOWS\system32\kncer32.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\certmgrkd.dll]
C:\WINDOWS\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\kncer32.exe
c:\windows\kncer32.exe
下面驱动取用备份后删除
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\SystemRoot\system32\DRIVERS\sr.sys



使用Sreng在注册表启动项目中
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]下的
    <kcien32><kncer32.exe>  []
将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下的
    <AppInit_DLLs><offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>  [N/A]
改成<AppInit_DLLs><kmon.dll>
使用System Detector（或者可以通过附件的映像劫持工具，由于只是分析就不上传了）修复映像劫持项目

回复第一篇
驱动删除
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2f.sys
自启动删除
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdfhex.dll
浏览器用户自行用工具处理，删除名称和映像路径为空的。
删除一些动态链接库


C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\mrejlzk\svchost.exe
C:\WINDOWS\system32\120133.dat
C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\qnxtkxyx.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\jfrwdh.dll

晕啊这里不完整，，，看的怕怕的。。。高手来解释下这边进程模块的情况。

第二篇
删除驱动
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp
System32\Drivers\msiffei.sys
system32\drivers\ViBus.sys
用SRE日志工具置空AppInit_DLLs 
删除以下动态链接库
C:\WINDOWS\system32\zofaianu.dll
C:\WINDOWS\system32\avicapwm.dll
C:\WINDOWS\system32\certmgrkd.dll
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\tscfgwmijxsj.dll
C:\WINDOWS\system32\imgutilhx2.dll
C:\WINDOWS\system32\xolehlpjh.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\WINDOWS\system32\adsntzt.dll
C:\WINDOWS\system32\bootvidgj.dll
C:\WINDOWS\system32\imgutilhx2.dll
修复映像劫持，可以下载一些工具使用。浏览器加载项靠SRE解决。

第三篇吃个饭在分析。。一个个复制粘贴，你们有没批量粘贴复制的。。

第三篇。感觉没什么问题
删除如下驱动
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat
system32\DRIVERS\secdrv.sys
\SystemRoot\system32\DRIVERS\HBKernel.sys
删除以下动态链接库
D:\瑞星杀毒\RISING\RAV\urutils.dll
浏览器加载项 用户自行清理，名称和路径为空的删了。

哈，当然是批量复制啦，复制完在删除这样会快点的
system32\DRIVERS\secdrv.sys这个是正常的驱动吧？第三篇问题不是好大，应该是用杀毒软件杀过残留下来一些文件吧？

第一个日志的处理:
用xdelbox重启后删除
C:\WINDOWS\system32\48c2.sys
C:\WINDOWS\system32\b3c2F.sys
C:\WINDOWS\system32\mttwfh.dll
C:\WINDOWS\system32\tdffdl.dll
C:\WINDOWS\system32\dvgydbuad.dll
C:\WINDOWS\system32\raaryuep.dll
C:\WINDOWS\system32\lweurqhx.dll
C:\WINDOWS\system32\dispexcb.dll
C:\WINDOWS\system32\cliconfgzx.dll
C:\Program Files\Internet Explorer\ExploreNt.Sys
C:\Program Files\Internet Explorer\ExploreNt.Dat
C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys
C:\WINDOWS\system32\120133.dat
C:\WINDOWS\system32\dpvvoxmh.dll
C:\WINDOWS\system32\qnxtkxyx.dll
C:\WINDOWS\system32\jfrwdh.dll
C:\WINDOWS\system32\tdfhex.dll
C:\WINDOWS\system32\mrejlzk\svchost.exe
C:\WINDOWS\system32\offscrlk.exe
C:\Program Files\Internet Explorer\ExploreNt.win
C:\WINDOWS\system32\120196.dat
C:\WINDOWS\system32\rmjgvdmm.dll

删后修复注册表:

{0CD9CB21-F56C-4AE1-B188-39F1E8D692AB} <C:\Program Files\Internet Explorer\ExploreNt.Sys, N/A>
[]
  {53AC264F-6DD8-41D9-921F-01FAAEA95C8B} <C:\Program Files\Internet Explorer\ExploreNt.Dat, N/A>
[]
  {86899D14-95D7-4E22-8AB3-7ACC53076FC9} <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys, N/A>

  {D51510C1-ECEA-45F7-B782-FE0EC2D2535D} <C:\Program Files\Internet Explorer\ExploreNt.win, N/A>

将下列的服务用Sreng删除

[48c2 / 48c2][Stopped/Manual Start]


[b3c2F / b3c2F][Stopped/Manual Start]


用Sreng修复.txt和.ini关联