对7月8号 老师公布的日志练习答案中整理的精彩批改
7月8号 4
启动文件夹
[QQ]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\QQ.lnk --> C:\WINDOWS\system\QQ.exe [N/A]><N>
[Skpye]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Skpye.lnk --> c:\windows\windows自动升级程序.exe [N/A]><N>（后面连带执行的程序，用工具是排查不出来的.所以以后有文件夹类的启动项要多注意）
驱动程序
[msskye / msskye][Running/Auto Start]
  <system32\DRIVERS\msaclue.sys><N/A>
[Network Monitor Protocol Driver / Ndisprot][Stopped/Manual Start]
  <system32\DRIVERS\winsys.sys><N/A>（对没公司签名的大胆删除!但还是有疑惑，瑞星对这个文件的诊断是0病毒。。。。。）
[PID: 655 / SYSTEM][c:\windows\windows自动升级程序.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]（有公司签名，杀!）
7月8号 5
C:\WINDOWS\sebs\pbhealth.dll(有公司签名,但文件夹路径有问题)
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll(没有公司签名.删除)
C:\WINDOWS\services.exe(已经missing,但是和尚跑了，庙照拆)
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[msfljw / msfljw][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msfljw.sys><N/A>
[msfpfis64 / msfpfis64][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys><N/A>
[mslxvh / mslxvh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mslxvh.sys><N/A>
[msomxh / msomxh][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msomxh.sys><N/A>
[nskhbn / nskhbn][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nskhbn.sys><N/A>
[nsqslc / nsqslc][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\nsqslc.sys><N/A>
[osddtj / osddtj][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osddtj.sys><N/A>
[osurwo / osurwo][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\osurwo.sys><N/A>
[parox / parox][Running/Boot Start]
  <\SystemRoot\system32\drivers\parox.sys><N/A>
[qxdcn / qxdcn][Running/Boot Start]
  <\SystemRoot\system32\drivers\qxdcn.sys><N/A>
[wmpobj / wmpobj][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys><N/A>
[apcdli / apcdli][Stopped/Auto Start]
  <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys><N/A>（驱动程序里面的无公司的都被和谐了- -！）
7月8号 7
C:\WINDOWS\system32\WgaLogon.dll （删除 ）（漂漂漂漂亮！）
C:\PROGRA~1\IEfxz\iefxz.dll（删除 ） 浏览器BHO中被复制了四个
7月8日 10
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <nahost><C:\WINDOWS\system32\lchost.exe>  [微软中国]  （删除） 乐坏我了@^o^@

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; 360SE)

[Network Monitor Protocol Driver / Ndisprot][Stopped/Manual Start]
  <system32\DRIVERS\winsys.sys><N/A>
发现你比较喜欢靠版本信息来判断可疑，有没有版本信息只是判断可疑的一个条件，分析日志和分析样本不同，无法得知一个程序的行为，日志带给我们的信息很有限，对于一个拿不准的文件，通过网络搜索是很好的选择，看看网络中对其的评价，另外删除这个还有一个重要的原因，即[Stopped/Manual Start]，它的启动类型为手动，当前状态是已停止，由此说明这个驱动在不启动的情况下也不影响这台电脑正常使用；

c:\windows\windows自动升级程序.exe
虽有公司名称，但通过路径和文件名判断，显然是伪装；

C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2005.dll
综合各方面因素（文件名、路径、网络搜索）认为该文件可疑；

删除那些驱动不仅仅因为没签名..............

C:\WINDOWS\system32\WgaLogon.dll
看路径是windows正版验证的文件，正常情况下应该有签名，如果没有签名有可能是被病毒修改或伪装，本身正版验证的东西，删除对系统无影响

C:\WINDOWS\system32\lchost.exe
伪装的太没水平了，呵呵

lqqk7老师，辛苦了， 啊里嘎到！

[微软中国]  ？我怎么没找到