瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 公司同事电脑中毒后的日志,请大家帮我分析一下

12   1  /  2  页   跳转

[求助] 公司同事电脑中毒后的日志,请大家帮我分析一下

收藏
zhangjun1234567
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2009-06-06
  • 来自:
发表于: 2009-06-24 14:38 | 只看楼主 短消息 资料
字号: 1楼

公司同事电脑中毒后的日志,请大家帮我分析一下

公司同事电脑中毒后的日志,请大家帮我分析一下

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLOG.log
下载次数:121
文件类型:application/octet-stream
文件大小:
上传时间:2009-6-24 14:37:43
描述:log
分享到:
gototop
 
zhangjun1234567
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2009-06-06
  • 来自:
发表于: 2009-06-24 14:42 | 只看楼主 短消息 资料
字号: 2楼

回复:公司同事电脑中毒后的日志,请大家帮我分析一下

自己觉得以下几点有点问题,望大家指教
启动文件夹
[Adobe Gamma Loader.exe]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Adobe Gamma Loader.exe.lnk --> C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE [Adobe Systems, Inc.]><N>
[mv61xx / mv61xx][Stopped/Disabled]
  <\SystemRoot\system32\DRIVERS\mv61xx.sys><Marvell Semiconductor, Inc.>
[NAVENG / NAVENG][Running/Manual Start]
  <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20090612.003\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15][Running/Manual Start]
  <\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20090612.003\navex15.sys><Symantec Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
能力有限,请大家多指教
还有许多我看不懂
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-06-24 15:07 | 短消息 资料
字号: 3楼

回复:公司同事电脑中毒后的日志,请大家帮我分析一下

日志没看出什么
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-06-24 15:09 | 短消息 资料
字号: 4楼

回复 1F zhangjun1234567 的帖子

删除下列驱动项:

Protector

ProtectorA

重启。删除下列病毒文件:
C:\WINDOWS\system32\Protector.sys
C:\WINDOWS\system32\drivers\ProtectorA.sys
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-06-24 15:13 | 短消息 资料
字号: 5楼

回复 4F baohe 的帖子

那不需要删除,老猫
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-06-24 15:36 | 短消息 资料
字号: 6楼

回复: 公司同事电脑中毒后的日志,请大家帮我分析一下



引用:
原帖由 天月来了 于 2009-6-24 15:13:00 发表
那不需要删除,老猫


又要说“那是工商银行的东东”,是吧?


我让他删除的理由:

1、以前运行病毒样本出现过这两个驱动。
2、看看楼主日志,真的没问题?winlogon为何获得系统特权了?
3、看看工商银行的说法:https://service.icbc.com.cn/bbs/article.jsp?boardid=2&bbsid=2956211&pages=1
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-06-24 15:38 | 短消息 资料
字号: 7楼

回复 6F baohe 的帖子

那看来还真需要删删看了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
zhangjun1234567
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2009-06-06
  • 来自:
发表于: 2009-06-24 17:15 | 只看楼主 短消息 资料
字号: 8楼

回复:公司同事电脑中毒后的日志,请大家帮我分析一下

我把系统重新做了,现在用SENG2扫描发现  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs> kmon.dll
删除了又有  在C盘SYSTEM32下面
我呆会上传日志
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-06-24 17:23 | 短消息 资料
字号: 9楼

回复 8F zhangjun1234567 的帖子

你是不知道搜索kmon.dll 文件看文件属性来判断

以及你不知道百度

你要是稍微百度一下,立即可知这是卡卡助手的文件

别管SRENG这工具的任何提示了,那不是给你看的
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-06-24 18:04 | 短消息 资料
字号: 10楼

回复:公司同事电脑中毒后的日志,请大家帮我分析一下

[Protector / Protector][Running/System Start]
  <system32\drivers\Protector.sys><N/A>
[ProtectorA / ProtectorA][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\ProtectorA.sys><www.ISRA.org.cn>

安装了最新的中国银行网上银行的插件之后。
这两个文件都有数字签名的。前者没版本信息。


最后编辑byxxdrls 最后编辑于 2009-06-24 18:05:52
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT