1   1  /  1  页   跳转

[练习] 7月13日 日志分析 练习6

收藏
本主题由 大版主 lqqk7 于 2009-7-16 17:12:00 执行 设置高亮 操作
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2009-07-13 20:46 | 只看楼主 短消息 资料
字号: 1楼

7月13日 日志分析 练习6

即日起每日会给大家提供一些染毒环境的SREng日志,因为部分实习生是第一次接触SREng这个工具,对日志分析不熟悉,如果冒然跑去反病毒区回帖,一旦出现误判,可能对求助者不利,因此采用这种“内部”交流的方式,希望大家能够多练习,真正分析日志的方法是靠自己实践摸索出来的!

注:日志分析练习情况与大家的实习期总成绩没有关联,请大家不要有顾虑,放心大胆的练习!


 附件: 您所在的用户组无法下载或查看附件


以下为参考处理方案(仅列出需要删除的文件和注册表项等,具体使用什么工具请自行根据实际情况选择)

 附件: 您所在的用户组无法下载或查看附件
最后编辑酷卡 最后编辑于 2009-07-28 17:16:56
分享到:
gototop
 
daemonz
头像
飘泊而立狮
  • 帖子:563
  • 注册: 2009-05-15
  • 来自:
发表于: 2009-07-14 08:40 | 短消息 资料
字号: 2楼

回复: 7月13日 日志分析 练习6

可疑的文件:
c:\docume~1\gz\locals~1\temp\jxinit.dat
c:\docume~1\gz\locals~1\temp\msdfjsadfjd.dat
c:\docume~1\gz\locals~1\temp\xunxianqq.dll
c:\windows\fonts\comres.dll
c:\windows\fonts\gth77327.ttf
c:\windows\system32\hgfs.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\gr.exe
c:\program files\microsoft office\system\sysbar.exe
c:\windows\khdk0.exe
这两个可能被感染:
c:\windows\system32\svchost.exe
c:\windows\system32\comres.dll


    启动项目 -- 注册表之如下项删除:
[config.exe]    <C:\WINDOWS\khdk0.exe>

镜像劫持修复:
[IFEO[360rpt.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[360Safe.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[360tray.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[DrRtp.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[QQDoctor.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[RStray.exe]]    <C:\WINDOWS\system32\svchost.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[zg / zg]    <>
[zg / zg]    <>
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-07-15 14:30 | 短消息 资料
字号: 3楼

回复: 7月13日 日志分析 练习6

***** 该内容需回复才可浏览 *****
最后编辑merrk_chuan 最后编辑于 2009-07-15 14:36:58
gototop
 
零度的穷浪漫
头像
自信弱冠狮
  • 帖子:499
  • 注册: 2009-06-25
  • 来自:
09欢乐圣诞
发表于: 2009-07-31 09:44 | 短消息 资料
字号: 4楼

回复:7月13日 日志分析 练习6

1.启动项
C:\WINDOWS\system32\ctfmon.exe被病毒修改过了
C:\WINDOWS\khdk0.exe
svchost.exe劫持了360rpt.exe 360Safe.exe  360tray.exe  DrRtp.exe  QQDoctor.exe  RStray.exe
打开SREng,选择【启动项目】-【注册表】,将以下项删除:
[IFEO[360rpt.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[360Safe.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[360tray.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[DrRtp.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[QQDoctor.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[RStray.exe]]    <C:\WINDOWS\system32\svchost.exe>
2.将驱动里的[zg / zg][Running/Manual Start]
  <2 - 系统找不到指定的文件。
><N/A>用sreng工具删除
打开SREng,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[zg / zg]    <>
[zg / zg]    <>
[hgfs / hgfs]    <System32\DRIVERS\hgfs.sys>
3.使用暴力文件删除工具删除以下文件:
c:\docume~1\gz\locals~1\temp\jxinit.dat
c:\docume~1\gz\locals~1\temp\msdfjsadfjd.dat
c:\docume~1\gz\locals~1\temp\xunxianqq.dll
c:\windows\fonts\comres.dll
c:\windows\fonts\gth77327.ttf
c:\windows\system32\hgfs.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\gr.exe
c:\program files\microsoft office\system\sysbar.exe
c:\windows\khdk0.exe
c:\windows\system32\drivers\hgfs.sys
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT