回复: 对7月8号日志练习中的疑问
C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\SYSTEM32\W32TIME.DLL<Microsoft Corporation>
这个不该删除,是自动同步时间的服务,忘记当时在干啥了,犯了个低级错误
,谢谢指正;
[sysHostSvc / sysHostSvc][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\GuiHelp.sys><Microsoft Corporation>
注意事项里已经说明,对于一时拿不准的东西,不要轻易删除,可以上报给反病毒厂商进一步鉴定;
C:\WINDOWS\system32\GameLink.dll
正常的,一个类似于“迅游”的游戏加速代理工具,插入大量进程的不一定就是病毒;
C:\WINDOWS\system32\ati2evxx.dll和C:\WINDOWS\system32\Ati2edxx.dll都是ATI显卡驱动相关文件;
<updater><; C:\WINDOWS\system32\updater.exe> [File is missing]
File is missing是指当前文件不存在,可以已经被杀毒软件杀掉,也可能病毒启动并完成一系列操作后将自身删除,但是注册表键值该删还是要删的;
C:\altera\quartus60\win\JTAGServer.exe
不是没版本信息、没签名的文件都有问题,分析日志和分析病毒样本同,我们不了解病毒的行为,所以判断文件是否正常要从多方面综合分析,病毒为了便于传播和隐蔽,一般会将自身创建在所有人的电脑都有的目录中(如%windir%\system32,所有windows系统都有这个目录),像C:\altera\quartus60\win\JTAGServer.exe这样的路径基本可以肯定是求助者自己安装的应用软件;
[232] \??\C:\WINDOWS\system32\winlogon.exe
不要光看我给出的参考结果,帖子里写的注意事项也要注意看一下,注意事项里已经说明了“绝不要删除这个文件”;
system32\DRIVERS\secdrv.sys
带不带版本信息不是判断可疑的唯一依据,很多正常的程序也没版本信息,而很多病毒也会去伪装一个正常程序的公司名称;
