日志分析练习080815 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区日志分析练习080815

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

日志分析练习080815

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-08-15 15:40 \| 只看楼主短消息资料字号：小中大 1楼日志分析练习080815 附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件附件: 您所在的用户组无法下载或查看附件 ====================================== 日志分析练习索引： 20080811 20080812 20080813 20080815 ====================================== lqqk7 最后编辑于 2008-08-15 16:54:30 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

codegeass 自信弱冠狮帖子:480 注册: 2008-07-25 来自:11区	发表于： 2008-08-15 16:06 \| 短消息资料字号：小中大 2楼回复: 日志分析练习20080815 第一篇： 1.建议使用XDelBox删除以下文件：(XDelBox1.6下载) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。启动项： C:\Program Files\Starsoftcomm\StarCenter\alert.exe C:\WINDOWS\system32\kbirfcz.dll C:\WINDOWS\system32\certmgrkd.dll C:\WINDOWS\system32\dpvvoxmh.dll C:\WINDOWS\system32\kbdgrms.dll C:\WINDOWS\system32\gdz\svchost.exe codegeass 最后编辑于 2008-08-15 16:08:27
codegeass 自信弱冠狮帖子:480 注册: 2008-07-25 来自:11区

fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪	发表于： 2008-08-15 17:03 \| 短消息资料字号：小中大 3楼回复: 日志分析练习080815 NO.1 Xdelbox删除 c:\windows\system32\gdz\svchost.exe c:\windows\system32\certmgrkd.dll c:\windows\system32\kbirfcz.dll c:\windows\system32\dpvvoxmh.dll c:\windows\system32\kbdgrms.dll c:\docume~1\tf\locals~1\temp\738458052.exe c:\program files\internet explorer\plugins\winnt64.sys SREng修复启动项目 -- 注册表之如下项删除： [N/A] <C:\WINDOWS\system32\gdz\svchost.exe /t> [certmgrkd.dll] <C:\WINDOWS\system32\certmgrkd.dll> [pgnwkhe] <C:\WINDOWS\system32\kbirfcz.dll> [dpvvoxmh.dll] <C:\WINDOWS\system32\dpvvoxmh.dll> [kbdgrms.dll] <C:\WINDOWS\system32\kbdgrms.dll> Xdelbox使用方法
fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪

fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪	发表于： 2008-08-15 17:24 \| 短消息资料字号：小中大 4楼回复: 日志分析练习080815 NO.2 Xdelbox删除 c:\windows\system32\jfrwdh.dll c:\windows\system32\drivers\uapaaw39.sys c:\windows\system32\drivers\qwkp.sys c:\windows\system32\drivers\jpu40.sys SREng修复启动项目--注册表之如下项删除： [{841529CB-7F77-4B99-A895-B5441E0D302F}] <C:\WINDOWS\system32\jfrwdh.dll> 启动项目--服务--驱动程序之如下项禁用： [uapaaw3 / uapaaw39] <\SystemRoot\System32\DRIVERS\uapaaw39.sys> [qwk / qwkp] <\SystemRoot\System32\DRIVERS\qwkp.sys> [Jpu40 / Jpu40] <\SystemRoot\System32\Drivers\Jpu40.sys> Xdelbox使用方法
fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪

fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪	发表于： 2008-08-15 17:34 \| 短消息资料字号：小中大 5楼回复：日志分析练习080815 NO.3 看两遍没看出来。。 Xdelbox使用方法
fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪

秦人J 快乐黄口狮帖子:203 注册: 2007-07-12 来自:	发表于： 2008-08-15 20:52 \| 短消息资料字号：小中大 6楼回复：日志分析练习080815 第一篇 C:\WINDOWS\system32\certmgrkd.dll C:\WINDOWS\system32\kbdgrms.dll C:\WINDOWS\system32\dpvvoxmh.dll C:\WINDOWS\system32\gdz\svchost.exe /t C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE <C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll 有可疑，还进程中一大堆是什么？？ d第二篇 qwkp.sys这个不清楚。。。 SSup.dll病毒文件
秦人J 快乐黄口狮帖子:203 注册: 2007-07-12 来自:

rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line	发表于： 2008-08-15 21:09 \| 短消息资料字号：小中大 7楼回复：日志分析练习080815 日志1 删除 C:\WINDOWS\system32\kbirfcz.dll C:\WINDOWS\system32\certmgrkd.dll C:\WINDOWS\system32\dpvvoxmh.dll C:\WINDOWS\system32\kbdgrms.dll C:\WINDOWS\system32\gdz\svchost.exe c:\docume~1\tf\locals~1\temp\738458052.exe C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys 下面是卸载KV2006残留下来的驱动，建议删除，并采用备份后删除 C:\PROGRA~1\KV2006\KRegEx.sys C:\PROGRA~1\KV2006\KvMemon.sys C:\PROGRA~1\KV2006\PProtect.sys 使用Sreng删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下的 <pgnwkhe><C:\WINDOWS\system32\kbirfcz.dll> [File is missing] <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll> [] <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll> [File is missing] <kbdgrms.dll><C:\WINDOWS\system32\kbdgrms.dll> [File is missing] 使用卡卡助手清理IE插件 rainyblue 最后编辑于 2008-08-16 10:25:41
rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line

rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line	发表于： 2008-08-15 22:18 \| 短消息资料字号：小中大 8楼回复：日志分析练习080815 日志2 删除： C:\WINDOWS\system32\jfrwdh.dll C:\WINDOWS\System32\Drivers\Jpu40.sys C:\WINDOWS\System32\DRIVERS\qwkp.sys C:\WINDOWS\System32\DRIVERS\uapaaw39.sys
rainyblue 强壮不惑狮帖子:1251 注册: 2008-07-05 来自:Grand line

heiyeuiu 拙长孩提狮帖子:67 注册: 2008-07-31 来自:山东德州	发表于： 2008-08-16 09:11 \| 短消息资料字号：小中大 9楼回复: 日志分析练习080815 日志1 主要的木马文件是 C:\WINDOWS\system32\gdz\svchost.exe C:\DOCUME~1\tf\LOCALS~1\Temp\738458052.exe C:\WINDOWS\system32\certmgrkd.dll 首先断开网络，使用冰刀等程序中止进程 PID = 1988, C:\WINDOWS\SYSTEM32\GDZ\SVCHOST.EXE PID = 3756, C:\DOCUME~1\TF\LOCALS~1\TEMP\738458052.EXE 然后使用xdelbox清除上面三个文件使用SRENG清除启动项注册表中的下面项，然后重启系统就行了。 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] <pgnwkhe><C:\WINDOWS\system32\kbirfcz.dll> [File is missing] <certmgrkd.dll><C:\WINDOWS\system32\certmgrkd.dll> [] <dpvvoxmh.dll><C:\WINDOWS\system32\dpvvoxmh.dll> [File is missing] <kbdgrms.dll><C:\WINDOWS\system32\kbdgrms.dll> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5a4cd61a-d2c4-2719-2719-e3d56fa3560f}] <N/A><C:\WINDOWS\system32\gdz\svchost.exe /t> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [File is missing] SRENG2.6版工具：http://www.kztechs.com/sreng/download.html SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx
heiyeuiu 拙长孩提狮帖子:67 注册: 2008-07-31 来自:山东德州

heiyeuiu 拙长孩提狮帖子:67 注册: 2008-07-31 来自:山东德州	发表于： 2008-08-16 09:39 \| 短消息资料字号：小中大 10楼回复: 日志分析练习080815 日志2 主要问题出在驱动里面，有几个可疑文件 c:windows\System32\Drivers\Jpu40.sys c:windows\System32\Drivers\qwkp.sys c:windows\System32\Drivers\uapaaw39.sys c:\WINDOWS\system32\drivers\nkv2.sys 使用xdelbox对上面文件进行备份后删除，重启后如果没什么问题，可以删除相应注册表项 [Jpu40 / Jpu40][Stopped/Boot Start] <\SystemRoot\System32\Drivers\Jpu40.sys><N/A> [qwk / qwkp][Stopped/Boot Start] <\SystemRoot\System32\DRIVERS\qwkp.sys><N/A> [uapaaw3 / uapaaw39][Stopped/System Start] <\SystemRoot\System32\DRIVERS\uapaaw39.sys><N/A> [USB2_04 driver / USB2_04][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\nkv2.sys><N/A> heiyeuiu 最后编辑于 2008-08-16 09:48:13 SRENG2.6版工具：http://www.kztechs.com/sreng/download.html SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx
heiyeuiu 拙长孩提狮帖子:67 注册: 2008-07-31 来自:山东德州

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT