7月13日日志分析练习3 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月13日日志分析练习3

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[练习] 7月13日日志分析练习3

本主题由大版主 lqqk7 于 2009-7-16 17:12:00 执行设置高亮操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2009-07-13 20:45 \| 只看楼主短消息资料字号：小中大 1楼 7月13日日志分析练习3 即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！附件: 您所在的用户组无法下载或查看附件以下为参考处理方案（进列出需要删除的文件和注册表项等，具体使用什么工具请自行根据实际情况选择）附件: 您所在的用户组无法下载或查看附件酷卡最后编辑于 2009-07-28 17:16:22 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:	发表于： 2009-07-13 21:55 \| 短消息资料字号：小中大 2楼回复: 7月13日日志分析练习3 我看晕了，那么多dll文件，似乎有问题，但网上搜一下，好像又都是正常的文件不知道是怎么回事啊
daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:

Lighting_Cui 自信弱冠狮帖子:391 注册: 2009-06-10 来自:火星	发表于： 2009-07-13 22:43 \| 短消息资料字号：小中大 3楼回复：7月13日日志分析练习3 C:\WINDOWS\dyloty\spoolsv.vbs C:\WINDOWS\system32\sdfi\pool.vbs C:\WINDOWS\system32\56276.63.exe C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\32B236.lnk C:\WINDOWS\system32\431CAD\32B236.EXE C:\WINDOWS\Fonts\EE8FFAA4.EXE
Lighting_Cui 自信弱冠狮帖子:391 注册: 2009-06-10 来自:火星

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-15 13:31 \| 短消息资料字号：小中大 4楼回复: 7月13日日志分析练习3 *** 该内容需回复才可浏览 ***
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-31 00:27 \| 短消息资料字号：小中大 5楼回复：7月13日日志分析练习3 1.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] <360tray><C:\WINDOWS\dyloty\spoolsv.vbs> [] <360safe><C:\WINDOWS\system32\sdfi\pool.vbs> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\guard.exe] <IFEO[guard.exe]><SvchoSt.exe> [(Verified)Microsoft Windows Component Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmain.exe] <IFEO[wmain.exe]><SvchoSt.exe> [(Verified)Microsoft Windows Component Publisher]被SvchoSt.exe劫持了…… 2.启动文件夹 [32B236] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\32B236.lnk --> C:\WINDOWS\system32\431CAD\32B236.EXE [File is missing]><N> 3.服务 [5288F63 / 5288F63][Stopped/Auto Start] <C:\WINDOWS\Fonts\EE8FFAA4.EXE -k><(File is missing)> [Eset HTTP Server / EhttpSrv][Stopped/Manual Start] <D:\360杀毒\EHttpSrv.exe><(File is missing)> [Eset Service / ekrn][Stopped/Auto Start] <D:\360杀毒\ekrn.exe><(File is missing)> [HID Input Service / HidServ][Stopped/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> isale_pgsql_service / isale_pgsql_service][Stopped/Auto Start] <f:/Program Files/isale_postgres/bin/pg_ctl.exe runservice -N "isale_pgsql_service" -D "f:/Program Files/isale_postgres/data"><(File is missing)> [Windows Audios / Windows Audios][Stopped/Auto Start] <C:\WINDOWS\Cursors\sevev.exe><(File is missing)> [GJMCBDMEY / YZZYZRGMIG][Stopped/Auto Start] <C:\WINDOWS\system32\svchost.exe -k YCDWILDDZ-->C:\Windows\system32\Microsoft\OVIJEOIWYB.DLL><N/A> 4.[davo / davo][Stopped/Boot Start] <\SystemRoot\system32\drivers\hfuyt.sys><N/A> [epfwtdir / epfwtdir][Running/System Start] <system32\DRIVERS\epfwtdir.sys><N/A> [mlinkgc / mlinkgc][Stopped/Boot Start] <\SystemRoot\system32\drivers\vxwuk.sys><N/A> [wakw / wakw][Running/Boot Start] <\SystemRoot\system32\drivers\wakw.sys><N/A> 5.[iSee 保存所有图片] <D:\iSee\iSeeSavePicAll.htm, N/A> [iSee保存Flash] <D:\iSee\iSeeSaveFlash.htm, N/A> [iSee保存所有图片] <D:\iSee\iSeeSavePicAll.htm, N/A> [iSee读取Exif] <D:\iSee\iSeeReadExif.htm, N/A> [添加相册用户到iSee收藏] <D:\iSee\iSeeAddToAlbum.htm, N/A> 6.[D:\Program Files\Tencent\QQ\FlashAvatarDll.dll] [, 1, 0, 0, 1] [C:\WINDOWS\system32\msdmo.dll] [, ] [D:\Program Files\Tencent\QQ\MSIMG32.dll] [N/A, ] [D:\Program Files\Tencent\QQ\FinePlus.dll] [N/A, ] 7.特殊特权被允许： SeLoadDriverPrivilege [PID = 668, C:\WINDOWS\SYSTEM32\WINLOGON.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 2096, D:\CTFMEN.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 3716, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\FEIFEI.EXE]
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-31 00:31 \| 短消息资料字号：小中大 6楼回复：7月13日日志分析练习3 老师的答案：开始操作之前，先把网络断开； ——————————————————————————————————————— 使用暴力文件删除工具删除以下文件： ——————————————————————————————————————— d:\ctfmen.exe c:\documents and settings\administrator\feifei.exe c:\windows\dyloty\spoolsv.vbs c:\windows\system32\sdfi\pool.vbs c:\windows\system32\56276.63.exe C:\WINDOWS\system32\431CAD\32B236.EXE c:\documents and settings\administrator\「开始」菜单\程序\启动\32b236.lnk c:\windows\system32\microsoft\ovijeoiwyb.dll c:\windows\fonts\ee8ffaa4.exe c:\windows\cursors\sevev.exe c:\windows\system32\drivers\wakw.sys c:\windows\system32\drivers\vxwuk.sys c:\windows\system32\drivers\hfuyt.sys ——————————————————————————————————————— 打开SREng，选择【启动项目】-【注册表】，将以下项删除： [360tray] <C:\WINDOWS\dyloty\spoolsv.vbs> [360safe] <C:\WINDOWS\system32\sdfi\pool.vbs> [StormCodec_Helper] <C:\WINDOWS\system32\56276.63.exe> [IFEO[guard.exe]] <SvchoSt.exe> [IFEO[wmain.exe]] <SvchoSt.exe> ——————————————————————————————————————— 打开SREng，选择【启动项目】-【服务】-【Win32服务应用程序】，将以下项删除： [GJMCBDMEY / YZZYZRGMIG] <C:\WINDOWS\system32\svchost.exe -k YCDWILDDZ-->C:\Windows\system32\Microsoft\OVIJEOIWYB.DLL> [5288F63 / 5288F63] <C:\WINDOWS\Fonts\EE8FFAA4.EXE -k> [Windows Audios / Windows Audios] <C:\WINDOWS\Cursors\sevev.exe> ——————————————————————————————————————— 打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除： [wakw / wakw] <\SystemRoot\system32\drivers\wakw.sys> [mlinkgc / mlinkgc] <\SystemRoot\system32\drivers\vxwuk.sys> [davo / davo] <\SystemRoot\system32\drivers\hfuyt.sys> ——————————————————————————————————————— 为什么呢？前面用工具删除的那些我还是搞不清楚哪些是要用那工具删的
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT