日志分析练习080812 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区日志分析练习080812

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4

1 / 4 页

跳转页

日志分析练习080812

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-08-13 09:12 \| 只看楼主短消息资料字号：小中大 1楼日志分析练习080812 昨天忘记发了 ====================================== 日志分析练习索引： 20080811 20080812 20080813 20080815 ====================================== 参考分析结果见：24楼，25楼，26楼，27楼，28楼附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件 lqqk7 最后编辑于 2008-08-15 16:52:52 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛	发表于： 2008-08-13 09:31 \| 短消息资料字号：小中大 2楼第一个日志分析 1.建议使用XDelBox删除以下文件 c:\progra~1\common~1\symant~1\symcdata\idsdefs\20070821.001\symidsco.sys c:\windows\system32\drivers\secdrv.sys %systemroot%\system32\shdocvw.dll 2.删除重启后使用SREng修复下面各项：启动项目－－服务－－驱动程序之如下项删除： [SYMIDSCO / SYMIDSCO] <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20070821.001\symidsco.sys> [Secdrv / Secdrv] <system32\DRIVERS\secdrv.sys> 系统修复－－　浏览器加载项之如下项删除： [SearchAssistantOC] <%SystemRoot%\system32\shdocvw.dll>
雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛

小狮子AA 自信弱冠狮帖子:384 注册: 2008-07-29 来自:	发表于： 2008-08-13 10:34 \| 短消息资料字号：小中大 3楼回复：日志分析练习080812 日志1 [npkcrypt / npkcrypt][Running/Auto Start] <\??\D:\Program Files\QQ2007\npkcrypt.sys><INCA Internet Co., Ltd.> 正常吧日志2 [aauxlpa / aauxlpa][Stopped/Boot Start] <\SystemRoot\system32\drivers\aauxlpa.sys><N/A> 和上面那个日志3 C:\WINDOWS\system32\nview.dll可疑疑似为病毒或NV的东东日志4[puckxri / puckxri][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\puckxri.sys><N/A> [zalws / zalws][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\zalws.sys><N/A> 日志5 360mon.dll主角典型木马群小狮子AA 最后编辑于 2008-08-13 10:46:23
小狮子AA 自信弱冠狮帖子:384 注册: 2008-07-29 来自:

雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛	发表于： 2008-08-13 10:40 \| 短消息资料字号：小中大 4楼日志分析2 1.建议使用XDelBox删除以下文件 c:\windows\system32\drivers\aauxlpa.sys http://www.microsoft.com/china/index.htm c:\windows\system32\drivers\aauxlpa.sys %systemroot%\system32\shdocvw.dll 2.删除重启后使用SREng修复下面各项：启动项目－－服务－－驱动程序之如下项删除： [aauxlpa / aauxlpa] <\SystemRoot\system32\drivers\aauxlpa.sys> [aauxlpa / aauxlpa] <\SystemRoot\system32\drivers\aauxlpa.sys> 系统修复－－　浏览器加载项之如下项删除： [微软] <http://www.microsoft.com/china/index.htm> [SearchAssistantOC] <%SystemRoot%\system32\shdocvw.dll>
雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛

雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛	发表于： 2008-08-13 10:52 \| 短消息资料字号：小中大 5楼回复：日志分析练习03 1.建议使用XDelBox删除以下文件 acnotify.dll c:\windows\system32\tpkmpsvc.exe c:\windows\system32\drivers\ibmbldid.sys c:\windows\system32\drivers\tppwrif.sys c:\windows\system32\drivers\tsmapip.sys c:\windows\system32\fsutk.dll c:\windows\downlo~1\iesign.ocx 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [WinlogonNotify: ACNotify] <ACNotify.dll> 启动项目－－服务－－ Win32服务应用程序之如下项删除： [IBM KCU Service / TpKmpSVC] <C:\WINDOWS\system32\TpKmpSVC.exe> 启动项目－－服务－－驱动程序之如下项删除： [IBMTPCHK / IBMTPCHK] <\??\C:\WINDOWS\system32\Drivers\IBMBLDID.sys> [TPPWRIF / TPPWRIF] <System32\drivers\Tppwrif.sys> [TSMAPIP / TSMAPIP] <System32\drivers\TSMAPIP.SYS> 系统修复－－　浏览器加载项之如下项删除： [QuickFlash] <C:\WINDOWS\system32\fsutk.dll> [QuickFlash] <C:\WINDOWS\system32\fsutk.dll> [Iesign Control] <C:\WINDOWS\DOWNLO~1\iesign.ocx> [Iesign Control] <C:\WINDOWS\DOWNLO~1\iesign.ocx> [@btrez.dll,-4015] <>
雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛

rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line	发表于： 2008-08-13 10:54 \| 短消息资料字号：小中大 6楼回复: 日志分析练习080812 引用: 原帖由雨君009 于 2008-8-13 9:31:00 发表 1.建议使用XDelBox删除以下文件 c:\progra~1\common~1\symant~1\symcdata\idsdefs\20070821.001\symidsco.sys c:\windows\system32\drivers\secdrv.sys %systemroot%\system32\shdocvw.dll 2.删除重启后使用SREng修复下面各 c:\windows\system32\drivers\secdrv.sys %systemroot%\system32\shdocvw.dll 这两个都是正常的系统文件啊！！
rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line

雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛	发表于： 2008-08-13 10:59 \| 短消息资料字号：小中大 7楼回复：日志分析练习080812 第4个，没有看出问题！
雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛

小狮子AA 自信弱冠狮帖子:384 注册: 2008-07-29 来自:	发表于： 2008-08-13 10:59 \| 短消息资料字号：小中大 8楼回复 6F rainyblue 的帖子过分依赖公司名称结果病毒加个公司名称，版本号，轻而易举如最近JAV
小狮子AA 自信弱冠狮帖子:384 注册: 2008-07-29 来自:

雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛	发表于： 2008-08-13 11:02 \| 短消息资料字号：小中大 9楼回复：日志分析练习05 1.建议使用XDelBox删除以下文件 c:\windows\system32\360mon.dll c:\windows\system32\wrqszl.dll c:\windows\system32\kgfghd.dll c:\windows\system32\wyrsdj.dll cfsserv.exe -noclient tfncky.exe ndstray.exe c:\windows\system32\mttwfh.dll c:\windows\system32\wklsdd.dll c:\windows\system32\tdffdl.dll c:\windows\system32\ddserh.dll c:\windows\system32\tdfhex.dll c:\windows\system32\sgdewg.dll c:\windows\system32\hhrdxd.dll c:\windows\system32\zgtwfx.dll c:\windows\system32\fsrgeb.dll c:\windows\system32\zycdex.dll c:\windows\system32\tdggrz.dll c:\windows\system32\jdsaex.dll c:\windows\system32\fmcvxy.dll c:\windows\system32\dntggf.dll c:\windows\system32\zsdgff.dll c:\windows\system32\jhfrxz.dll c:\windows\system32\wzcfsw.dll c:\windows\system32\svchost.exe -k netsvcs-->%systemroot%\system32\appmgmts.dll 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [WinlogonNotify: xy3safe] <C:\WINDOWS\system32\360mon.dll> [{F99DEFDD-200B-4410-B572-E90883D527D2}] <C:\WINDOWS\system32\wrqszl.dll> [{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}] <C:\WINDOWS\system32\kgfghd.dll> [{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll> [{AEB6717E-7E19-21d2-97EE-00C04FD91972}] <C:\WINDOWS\system32\360mon.dll> [CFSServ.exe] <CFSServ.exe -NoClient> [TFncKy] <TFncKy.exe> [NDSTray.exe] <NDSTray.exe> [{021F087F-4378-545F-74FA-37D345AD7A8C}] <C:\WINDOWS\system32\mttwfh.dll> [{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}] <C:\WINDOWS\system32\wklsdd.dll> [{C0595A7E-2E2F-4B34-A83A-019270A0A464}] <C:\WINDOWS\system32\tdffdl.dll> [{A9895933-6636-4281-BC58-EE6DE2AF96E3}] <C:\WINDOWS\system32\ddserh.dll> [{0B846B26-BFE6-4E8E-A948-1DB17B77B483}] <C:\WINDOWS\system32\tdfhex.dll> [{8C41B7F7-3168-400D-A702-0E7EFE0BA304}] <C:\WINDOWS\system32\sgdewg.dll> [{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}] <C:\WINDOWS\system32\hhrdxd.dll> [{006CA8A1-61BC-4774-A54C-F49034270BAD}] <C:\WINDOWS\system32\zgtwfx.dll> [{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}] <C:\WINDOWS\system32\fsrgeb.dll> [{45AADFAA-DD36-42AB-83AD-0521BBF58C24}] <C:\WINDOWS\system32\zycdex.dll> [{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}] <C:\WINDOWS\system32\tdggrz.dll> [{B29583D8-033A-4B9F-8553-7C5458F3FB8E}] <C:\WINDOWS\system32\jdsaex.dll> [{73AE86E6-7F03-4C3B-8980-FB1DA157D3C7}] <C:\WINDOWS\system32\fmcvxy.dll> [{259BF3CF-194D-4FE6-9ADB-DE6544B098B6}] <C:\WINDOWS\system32\dntggf.dll> [{53D44DB6-E22B-4B17-97D3-572C96CCA6E1}] <C:\WINDOWS\system32\zsdgff.dll> [{7914E0AA-ECCB-4311-B584-C49538227824}] <C:\WINDOWS\system32\jhfrxz.dll> [{28766E1C-74B0-4417-8C75-F12AE309EF35}] <C:\WINDOWS\system32\wzcfsw.dll> 启动项目－－服务－－ Win32服务应用程序之如下项删除： [Application Management / AppMgmt] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll>
雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛

雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛	发表于： 2008-08-13 11:04 \| 短消息资料字号：小中大 10楼回复：日志分析练习080812 好的，我再看看。谢谢“小狮子AA ”
雨君009 飘泊而立狮帖子:683 注册: 2008-08-05 来自:"动物家园"论坛

<<上一主题|下一主题>>

12 3 4

1 / 4 页

跳转页

页面顶部

Powered by Discuz!NT