7月13日日志分析练习9 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛综合娱乐区 活动专区 实习生专区 实习生交流区 7月13日日志分析练习9

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		请移步新论坛反馈问题或参与讨论		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[练习] 7月13日日志分析练习9

本主题由大版主 lqqk7 于 2009-7-16 17:12:00 执行设置高亮操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2009-07-13 20:48 \| 只看楼主短消息资料字号：小中大 1楼 7月13日日志分析练习9 即日起每日会给大家提供一些染毒环境的SREng日志，因为部分实习生是第一次接触SREng这个工具，对日志分析不熟悉，如果冒然跑去反病毒区回帖，一旦出现误判，可能对求助者不利，因此采用这种“内部”交流的方式，希望大家能够多练习，真正分析日志的方法是靠自己实践摸索出来的！注：日志分析练习情况与大家的实习期总成绩没有关联，请大家不要有顾虑，放心大胆的练习！附件: 您所在的用户组无法下载或查看附件以下为参考处理方案（仅列出需要删除的文件和注册表项等，具体使用什么工具请自行根据实际情况选择）附件: 您所在的用户组无法下载或查看附件酷卡最后编辑于 2009-07-28 17:11:48 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	分享到：

daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:	发表于： 2009-07-14 10:39 \| 短消息资料字号：小中大 2楼回复: 7月13日日志分析练习9 删除： c:\windows\winsw14e.dll MsUpdateTask.job f:\program files\kugoo2007\kugoo.exe c:\documents and settings\administrator\「开始」菜单\程序\启动\启动itudou.lnk c:\documents and settings\administrator\「开始」菜单\程序\启动\开屏桌面画报.lnk c:\documents and settings\administrator\「开始」菜单\程序\启动\腾讯qq.lnk c:\windows\system32\drivers\1567375.sys c:\windows\system32\drivers\adprot.sys 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [{D7B21266-AA85-44b8-B516-3B1A69827400}] <> [KuGoo3] <F:\Program Files\KuGoo2007\KuGoo.exe> 启动项目－－　启动文件夹之如下项删除： [启动iTudou] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\启动iTudou.lnk> [开屏桌面画报] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\开屏桌面画报.lnk> [腾讯QQ] <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk> 启动项目－－服务－－驱动程序之如下项禁用： [1567437 / 1567437] <\??\C:\WINDOWS\system32\Drivers\1567375.sys> [ADProt / ADProt] <\SystemRoot\system32\drivers\ADProt.sys>
daemonz 飘泊而立狮帖子:563 注册: 2009-05-15 来自:

merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:	发表于： 2009-07-15 15:45 \| 短消息资料字号：小中大 3楼回复: 7月13日日志分析练习9 *** 该内容需回复才可浏览 ***
merrk_chuan 飘泊而立狮帖子:845 注册: 2009-06-07 来自:

零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:	发表于： 2009-07-31 13:59 \| 短消息资料字号：小中大 4楼回复：7月13日日志分析练习9 开始操作之前，先把网络断开； ——————————————————————————————————————— 使用暴力文件删除工具删除以下文件： ——————————————————————————————————————— c:\windows\winsw14e.dll c:\windows\system32\drivers\1567375.sys c:\windows\system32\drivers\prtfile.sys c:\windows\system32\drivers\adprot.sys c:\windows\system32\drivers\prtrege.sys ——————————————————————————————————————— 用映像劫持工具修复 [IFEO[Domino.exe]] <rundll32.exe "C:\WINDOWS\winsw14e.dll",fnOpen 1> [IFEO[ZSSnp211.exe]] <rundll32.exe "C:\WINDOWS\winsw14e.dll",fnOpen 0> ——————————————————————————————————————— 打开SREng，选择【启动项目】-【服务】-【驱动程序】，将以下项删除： [1567437 / 1567437] <\??\C:\WINDOWS\system32\Drivers\1567375.sys> [prtfile / prtfile] <system32\drivers\prtfile.sys> [ADProt / ADProt] <\SystemRoot\system32\drivers\ADProt.sys> [prtrege / prtrege] <system32\drivers\prtrege.sys> ——————————————————————————————————————— 打开SREng，选择【启动项目】-【计划任务】-【管理】，将以下项删除： MsUpdateTask.job ———————————————————————————————————————
零度的穷浪漫自信弱冠狮帖子:499 注册: 2009-06-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT