即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！

注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！


 附件: 您所在的用户组无法下载或查看附件


========以下为参考分析结果========
异常项见附件（仅保留日志中可疑度较高的项）

注意：
1、日志中的很多文件是不常见的，无法判断是否正常，网络搜索也没有获取到有价值的信息，可以上报反病毒厂商进一步鉴定

 附件: 您所在的用户组无法下载或查看附件

该用户帖子内容已被屏蔽

莫非是。。欢乐时光？？？

Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt

c:\windows\3600tray.exe
c:\windows\system32\winsersec.exe
c:\windows\system32\servdll.dll
c:\windows\system32\wdfmgr.exe

[360tray.exe / 360tray.exe]    <C:\WINDOWS\3600tray.exe>
[winser / winser]    <C:\WINDOWS\system32\winsersec.exe>

Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt

1.[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <SWd><C:\WINDOWS\winwd.exe>  []
文件 winwd.exe 是存放在目录 C:\Windows。 这个进程在 Windows 启动时自动载入 (参看注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)。这个不是 Windows 系统文件。 程序没有可视窗口。 这是个不知名的文件存放于 Windows 目录。 winwd.exe 是有能力可以 隐藏自身。 总结在技术上威胁的危险度是 76% , 但是也可以参考 用户意见。
2.服务
[360tray.exe / 360tray.exe][Running/Auto Start]
  <C:\WINDOWS\3600tray.exe><N/A>
[winser / winser][Running/Auto Start]
  <C:\WINDOWS\system32\winsersec.exe><N/A>
winsersec.exe进程 是附属于软件 winser 或 winsersec.exe 由 不知名 发行。
注释: 文件 winsersec.exe 是存放在目录 C:\Windows\System32。应用程序是不可见的。 这是个不知名的文件存放于 Windows 目录。 这个不是 Windows 核心文件。 总结在技术上威胁的危险度是 73% , 但是也可以参考 用户意见。 切记： winsersec.exe 也可能是恶意软件所伪装，尤其是当它们存在于 c:\windows 或 c:\windows\system32 目录。我们建议使用 Security Task Manager 来检查电脑的安全状况，以便进一步查看 winsersec.exe 进程是否真的有害。

3.[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, (Signed) N/A>
4.[PID: 996 / SYSTEM][C:\WINDOWS\system32\winsersec.exe]  [N/A, ]
    [C:\WINDOWS\system32\servdll.dll]  [N/A, ]
[PID: 1860 / SYSTEM][C:\WINDOWS\3600tray.exe]  [N/A, ]
[C:\WINDOWS\pcsecshext.dll]  [N/A, ]
[C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
wsec32hk.dll
这是德国AntiVir杀毒软件发布的测试内存的工具，很烦人，允许的话会大量占用你的内存，卡机子，坚决阻止它．
5.Winsock 提供者
N/A
==================================
Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
6.特殊特权被允许： SeLoadDriverPrivilege [PID = 1388, C:\WINDOWS\SDAEMON.EXE]
SeLoadDriverPrivilege [PID = 1480, C:\WINDOWS\WINWD.EXE]

正在运行的进程
[PID: 996 / SYSTEM][C:\WINDOWS\system32\winsersec.exe]  [N/A, ]
[PID: 1860 / SYSTEM][C:\WINDOWS\3600tray.exe]  [N/A, ]
  [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 468 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1800 / Administrator][C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe]  [ESET, 3.0.669 ]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1388 / Administrator][C:\WINDOWS\sdaemon.exe]  [Tropical Software, 6.4]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
    [C:\WINDOWS\system32\servdll.dll]  [N/A, ]
[PID: 1480 / Administrator][C:\WINDOWS\winwd.exe]  [N/A, ]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1696 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 1708 / Administrator][C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe]  [Nero AG, 3.3.3.0]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]   
[PID: 2420 / Administrator][D:\Program Files\Maxthon2\Maxthon.exe]  [Maxthon International ltd., 2, 1, 5, 1250]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 2528 / Administrator][C:\WINDOWS\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
[PID: 3272 / Administrator][E:\Downloads软件工具\sreng2\SRE9b4eb966.EXE]  [Smallfrogs Studio, 2.7.0.1210]
    [C:\WINDOWS\WSEC32HK.dll]  [N/A, ]
  ==================================
Autorun.inf
[C:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[D:\]
[AutoRun]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[E:\]
[AutoRun]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt
[F:\]
open=Folder.htt
shellexecute=Folder.htt
shell\Auto\command=Folder.htt