说明：这是练习2的答案截图

 附件: 您所在的用户组无法下载或查看附件

1.我的分析结果漏了这项RsTray.exe，这不是卡卡的监控吗？路径有问题？而且是【File is missing】为什么算可疑项
2.ShellExecuteHooks下面的那些dll,是可疑 但怎么确定的？是不是自启动下不应该有东西？

下面就不一一截图了

3.老师说IFEO,不都是镜像劫持，看子项，子项是360safe.exe应该是360的吧，还有子项是agentsvr.exe，这个查了是微软的一个多媒体插件，怎么都。。。？
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
    <IFEO[360rpt.exe]><ntsd -d>  [N/A]

4.HZ_CommSrv.exe 这东西在system32下是不是不合理？卡卡的文件诊断告诉我 有五个同名文件 三个安全 两个不安全，还是不好判断
[HDZB Comm Service For V2.0 / HZ_CommSrv][Running/Auto Start]
  <C:\WINDOWS\system32\HZ_CommSrv.exe><华大智宝电子系统有限公司>

5.服务项里 瑞星的几个服务怎么有问题了？而且是stopped状态    哦 是不是没有标识<Beijing Riisng.....>?
[Ris Process Communication Center / RisCCenter][Stopped/Auto Start]
  <D:\工具\Rising\Ris\CCENTER.EXE><(File is missing)>

ps：两个正常文件 不过sreng显示不确定
          Shmgrate.exe  WindowsNT 用户数据迁移工具
            setup50.exe    outlook的通讯簿组件

根据经验，第一个红圈，我是不需要怀疑的，不知道其他人如何看。

第二个红圈，不用说了，系统自身那位置不存在无签名的项目的。

整个一木马群病毒影响

1、File is Missing一般而言是可以放过的，但是需要引起注意。瑞星的文件怎么会无端消失呢？是主人不恰当的卸载方式还是被病毒影响？
2、至于下面的DLL是否可疑可以从两个方面大致判断：命名规则以及签名。可以看到命名是随机的，无签名。而这些都符合病毒的特征。
3、镜像劫持中，[]最后文件以及第一个<>包含的文件一般来说相同，是被劫持项。第二个<>是劫持后启用的项目。需要注意的是，镜像劫持是一个被妖魔化的概念，其本意是传递参数以方便调试。即运行第二个<>内的程序，以第一个括号的文件作为参数。具体到上例，即运行命令ntsd -d 360rpt.exe。这里的360rpt.exe是作为参数传递的，ntsd是一个调试命令，用以结束进程。那么结果就是360rpt运行不起来。

另一个误区是，凡是被映像劫持的程序运行不起来。这是错误的。具体到为什么，请看传送门。
传送门地址： http://bbs.ikaka.com/showtopic-8695075.aspx

4、这个文件应该是正常的，如果不放心可以建议求助者上传扫描。
5、主要是文件丢失了，导致瑞星就不可能启动起来。这另一方面也印证了文件不是用户误删的，而是被病毒删除的。因为用户误删是很难删除正在运行的服务的，除非用特殊的删除工具。