即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！


 附件: 您所在的用户组无法下载或查看附件


以下为参考处理方案（仅列出需要删除的文件和注册表项等，具体使用什么工具请自行根据实际情况选择）

 附件: 您所在的用户组无法下载或查看附件

可疑的地方：
c:\progra~1\3721\alliveex.dll
c:\progra~1\3721\autolive.dll
c:\progra~1\3721\helper.dll
c:\progra~1\3721\notifier.dll
c:\windows\downlo~1\cnsmin.dll
rundll32.exe c:\windows\downlo~1\cnsmin.dll,rundll32
c:\windows\system32\rundll32.exe c:\progra~1\3721\helper.dll,rundll32
c:\windows\downlo~1\cnshook.dll
"c:\program files\rising\rav\ravtask.exe" ravtask
c:\program files\rising\rav\ravmond.exe
c:\program files\rising\rav\scanfrm.exe
c:\windows\system32a2.sys
c:\windows\system32\drivers\secdrv.sys
c:\windows\system32\drivers\rsntgdi.sys
c:\windows\\systemroot\system32\drivers\mgogrh.sys
c:\windows\system32\bird\3wdrv100.sys
c:\windows\system32\bird\3waregsm.sys
c:\windows\system32\bird\3waredrv.sys
c:\windows\system32\bird\adp94xx.sys
c:\windows\system32\bird\adpu320.sys
c:\windows\system32\bird\aec6260.sys
c:\windows\system32\bird\aec6280.sys
c:\windows\system32\bird\aec67160.sys
c:\windows\system32\bird\aec67162.sys
c:\windows\system32\bird\aec671x.sys
c:\windows\system32\bird\aec6880.sys
c:\windows\system32\bird\aec6897.sys
c:\windows\system32\bird\aec68x5.sys
c:\windows\system32\bird\arcm_x86.sys
c:\windows\system32\bird\bchtsw32.sys
c:\windows\system32\bird\bcraid.sys
c:\windows\system32\bird\cda1000.sys
c:\windows\system32\bird\cpqarry2.sys
c:\windows\system32\bird\cpqcissm.sys
c:\windows\system32\bird\csb6ide.sys
c:\windows\system32\bird\dac2w2k.sys
c:\windows\system32\bird\fastsx.sys
c:\windows\system32\bird\fasttrak.sys
c:\windows\system32\bird\fasttx2k.sys
c:\windows\system32\bird\ft8300.sys
c:\windows\system32\bird\ftsata2.sys
c:\windows\system32\bird\gd31244.sys
c:\windows\system32\bird\2310_00.sys
c:\windows\system32\bird\a320raid.sys
c:\windows\system32\bird\hpcisss2.sys
c:\windows\system32\bird\hpt371.sys
c:\windows\system32\bird\hpt374.sys
c:\windows\system32\bird\hpt3xx.sys
c:\windows\system32\bird\i2omp.sys
c:\windows\system32\bird\iastor.sys
c:\windows\system32\bird\ift2000.sys
c:\windows\system32\bird\inia100.sys
c:\windows\system32\bird\ipsraidn.sys
c:\windows\system32\bird\iteraid.sys
c:\windows\system32\bird\jraid.sys
c:\windows\system32\bird\m5228.sys
c:\windows\system32\bird\m5281.sys
c:\windows\system32\bird\m5287.sys
c:\windows\system32\bird\m5288.sys
c:\windows\system32\bird\m5289.sys
c:\windows\system32\bird\megaide.sys
c:\windows\system32\bird\aac.sys
c:\windows\system32\bird\mraid35x.sys
c:\windows\system32\bird\nvatabus.sys
c:\windows\system32\bird\nvraid.sys
c:\windows\system32\bird\perc2.sys
c:\windows\system32\bird\pnp649r.sys
c:\windows\system32\bird\pnp680.sys
c:\windows\system32\bird\pnp680r.sys
c:\windows\system32\bird\ql1080.sys
c:\windows\system32\bird\ql12160.sys
c:\windows\system32\bird\ql1280.sys
c:\windows\system32\bird\raidsrc.sys
c:\windows\system32\bird\rr232x.sys
c:\windows\system32\bird\aacsas.sys
c:\windows\system32\bird\s150sx8.sys
c:\windows\system32\bird\aar81xx.sys
c:\windows\system32\bird\si3112.sys
c:\windows\system32\bird\si3112r.sys
c:\windows\system32\bird\si3114.sys
c:\windows\system32\bird\si3114r.sys
c:\windows\system32\bird\si3114r5.sys
c:\windows\system32\bird\si3124.sys
c:\windows\system32\bird\si3124r.sys
c:\windows\system32\bird\si3124r5.sys
c:\windows\system32\bird\si3132.sys
c:\windows\system32\bird\si3132r5.sys
c:\windows\system32\bird\sisraid.sys
c:\windows\system32\bird\sisraid2.sys
c:\windows\system32\bird\sisraid4.sys
c:\windows\system32\bird\sptrak.sys
c:\windows\system32\bird\st8350.sys
c:\windows\system32\bird\symmpi.sys
c:\windows\system32\bird\sym_hi.sys
c:\windows\system32\bird\sym_u3.sys
c:\windows\system32\bird\ulsata.sys
c:\windows\system32\bird\ulsata2.sys
c:\windows\system32\bird\ultima.sys
c:\windows\system32\bird\ultimarx.sys
c:\windows\system32\bird\ultra.sys
c:\windows\system32\bird\viamraid.sys
c:\windows\system32\bird\vmscsi.sys
c:\windows\system32\bird\w2kadv.sys
c:\windows\system32\bird\aarsi3x.sys

浏览器加载项之如下项删除
[XML HTTP]    <%SystemRoot%\system32\msxml3.dll>
[XML HTTP 3.0]    <%SystemRoot%\system32\msxml3.dll>
[XML DOM Document 3.0]    <%SystemRoot%\system32\msxml3.dll>
[XML HTTP Request]    <%SystemRoot%\system32\msxml3.dll>
[SearchAssistantOC]    <%SystemRoot%\system32\shdocvw.dll>
[XML DOM Document]    <%SystemRoot%\system32\msxml3.dll>
[时尚精品，体验快感]    <http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn>
[]    <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean>
[]    <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair>
[情景聊天]    <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg>
[]    <%windir%\Network Diagnostic\xpnetdiag.exe>
[雅虎WIDGET]    <http://cn.widget.yahoo.com/index.htm?source=Cns>
[JUJU猫]    <http://www.jujumao.com>
[雅虎助手]    <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist>
[名品折扣]    <http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138>
[Yahoo 3.5G电邮]    <http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail>

1.是不是用了壁纸转换软件，如果没有用的话建议删除<C:\WINDOWS\system32\bgswitch.exe>
<shell><Explorer.exe>  [(Verified)]这个应该是被病毒修改过了
<UIHost><logonui.exe>  [(Verified)]这个也是
2.[Rav Process Communication Center / RavCCenter][Stopped/Auto Start]
  <C:\Program Files\Rising\Rav\CCENTER.EXE><N/A>
[Rising RavTask Manager / RavTask][Stopped/Auto Start]
  <"C:\Program Files\Rising\Rav\RavTask.exe" RavTask><(File is missing)>
[Rising RealTime Monitor / RsRavMon][Stopped/Auto Start]
  <C:\Program Files\Rising\Rav\RavMonD.exe><(File is missing)>
[Rising Scan Service / RsScanSrv][Stopped/Auto Start]
  <C:\Program Files\Rising\Rav\ScanFrm.exe><(File is missing)>
[CLCV0 / UTSCSI][Running/Auto Start]
  <C:\WINDOWS\system32\UTSCSI.EXE><>
3.[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A>
[3WAREGSM / 3WAREGSM][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3waregsm.sys><N/A>
[3WDRV100 / 3WDRV100][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WDRV100.SYS><N/A>
[hookcont / hookcont][Stopped/System Start]
  <system32\drivers\HookCont.sys><N/A>
[hooksys / hooksys][Stopped/System Start]
  <system32\drivers\HookSys.sys><N/A>
[RsNTGDI / RsNTGDI][Stopped/Boot Start]
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><N/A>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[R2A / R2A][Stopped/Disabled]
  <\??\C:\WINDOWS\system32a2.sys><N/A>
这些驱动用Sreng工具删除吧？
3.[XML HTTP Request]
  {ED8C108E-4349-11D2-91A4-00C04F7969E8} <%SystemRoot%\system32\msxml3.dll, N/A>
[XML DOM Document 3.0]
  {F5078F32-C551-11D3-89B9-0000F81FE221} <%SystemRoot%\system32\msxml3.dll, N/A>
[XML HTTP 3.0]
  {F5078F35-C551-11D3-89B9-0000F81FE221} <%SystemRoot%\system32\msxml3.dll, N/A>
[XML HTTP]
  {F6D90F16-9C73-11D3-B32E-00C04F990BB4} <%SystemRoot%\system32\msxml3.dll, N/A>
浏览器加载项好多
4.  [C:\Program Files\Microsoft Office\OFFICE11\AW.DLL]  [, ]
5.特殊特权被允许： SeLoadDriverPrivilege [PID = 1864, C:\WINDOWS\SYSTEM32\RUNDLL32.EXE]
特殊特权被允许： SeDebugPrivilege [PID = 2068, C:\WINDOWS\SYSTEM32\CTFMON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 2068, C:\WINDOWS\SYSTEM32\CTFMON.EXE]

貌似跟老师的解答不着边儿啊