1234   1  /  4  页   跳转

关于求助时使用扫日志工具问题

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-29 16:08 | 只看楼主 短消息 资料
字号: 1楼

关于求助时使用扫日志工具问题




近一段时间以来,论坛上扫/贴SREng日志求助的朋友较多。
说实在的,读SREng、autoruns的日志——我比较怵(内容太多),这双本已高度近视的眼睛倍受摧残啊!

今天,得到一个“灰鸽子”样本,正好拿来举个例子。
将灰鸽子(setup.exe)种植到系统中,然后,分别用SREng、HijackThis1.99.1、autoruns三个常用日志工具扫系统日志。结果如下:
————————————————————
SREng日志:

2006-07-29,15:04:51

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能


服务
[kavsvc / kavsvc]
  <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"><Kaspersky Lab>
[TuneUp WinStyler Theme Service / TUWinStylerThemeSvc]
  <"C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe"><TuneUp Software GmbH>
[FW Event Manager / UmxAgent]
  <"C:\Program Files\Tiny Firewall Pro\UmxAgent.exe"><Computer Associates International, Inc.>
[FW Configuration Interpreter / UmxCfg]
  <"C:\Program Files\Common Files\PFShared\UmxCfg.exe"><Computer Associates International, Inc.>
[FW User-Mode Helper / UmxFwHlp]
  <"C:\Program Files\Tiny Firewall Pro\UmxFwHlp.exe"><Computer Associates International, Inc.>
[FW Live Update / UmxLU]
  <"C:\Program Files\Common Files\PFShared\umxlu.exe"><Tiny Software, Inc.>
[FW Policy Manager / UmxPol]
  <"C:\Program Files\Common Files\PFShared\UmxPol.exe"><Computer Associates International, Inc.>
________________________________

HijackThis v1.99.1日志:
Scan saved at 15:08:26, on 2006-7-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:\Program Files\Internet Explorer\IEXPLORE.EXE

O23 - Service: Lan_manage - Unknown owner - C:\WINDOWS\Lan_manage.exe

_________________________________

autoruns日志:

HKLM\System\CurrentControlSet\Services           



+ Lan_manage    内网管理服务,不可删        c:\windows\lan_manage.exe
——————————————————

三份日志中,只有SREng日志丢掉了“灰鸽子”的服务项。

这个例子再次说明:扫日志时,不要过度依赖某个工具。日志工具——需要灵活使用。

这只鸽子的样本来自:http://majun1988.netcx.net/hgz/setup.exe
如果不信,可以自己试试。










最后编辑2006-08-02 09:57:01.297000000
分享到:
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-29 16:17 | 短消息 资料
字号: 2楼

前几周就发现了...

SREng扫不到的鸽子还有好多只...

我也是偷回来的...
gototop
 
yanmings
头像
锋芒艾服狮
  • 帖子:1698
  • 注册: 2005-01-10
  • 来自:
发表于: 2006-07-29 16:39 | 短消息 资料
字号: 3楼

我还是首选HJ

PS:偷偷回来看猫叔的贴子
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-29 16:44 | 只看楼主 短消息 资料
字号: 4楼

引用:
【yanmings的贴子】我还是首选HJ

PS:偷偷回来看猫叔的贴子
...........................

看个帖子,还要偷偷摸摸的?
严重不解!
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2006-07-29 16:48 | 短消息 资料
字号: 5楼

呵呵..HJ还是好..简而不凡....

我不偷偷的看.要看就光明正大看.......
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-29 16:55 | 短消息 资料
字号: 6楼

引用:
【独孤豪侠的贴子】呵呵..HJ还是好..简而不凡....

我不偷偷的看.要看就光明正大看.......


...........................


猫叔 借你帖子水一下...

我呸.. 我踹... 孤独要不是猫叔写帖..你还不来呢...

还正大光明...踹踹踹!!!!!!!!!1
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2006-07-29 17:04 | 短消息 资料
字号: 7楼

我晕..

你不能给我留点面子呀........

不在这吵了...咱们QQ里PK  闪.
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2006-07-29 22:24 | 短消息 资料
字号: 8楼

上次我就已经为这个问题发过帖子了,没有必要什么问题都把SReng的日志往上贴,要有针对性地根据问题来选择合适的辅助工具,我们是“反病毒论坛”,不是“看日志论坛”,现在有点过度了。
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-07-30 00:08 | 短消息 资料
字号: 9楼

实际上,SREng,HijackThis,autoruns。就像三个人,各有所长。
说谁绝对管用都是不对的
在日常运用里,我也一直在灵活的运行各种工具。
关于SREng,人家都说我变态,喜欢看SREng的日志。
我一直没有回应,个中原因相信行内的人都懂。
我只想说的是,不要说SREng的日志扰乱了论坛的环境,不要抯止SREng的运用。
SREng日志必然有不足的地方,但相对于其它的工具,优点很明显。
套用一句话,不要看广告,看疗效
gototop
 
yesezc
头像
拙长孩提狮
  • 帖子:138
  • 注册: 2006-03-30
  • 来自:
发表于: 2006-07-30 11:05 | 短消息 资料
字号: 10楼

怎么这样啊。
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT