感觉在病毒区回帖分析日志的总是就那几个实习生，很多人好像没怎么露过头，不知道是出于什么原因........
如果确实想学日志分析，但是担心回帖有错误的，可以到这里来练习。
每天我会从其他版块找几个日志贴过来，所有实习生都可以来分析一下，不用怕出错，这个东西本身就是要靠多积累经验的。
每天挑选的日志数量不等，也不一定都有问题，完全是我随机抽取的。
诸位可以放心大胆的来练习，把自己的分析结果贴上来一起交流，结果是不计分的，完全不要有顾虑！
其他版主有空的话也继续补充吧，给实习生们更多练习的机会，实习生群里的人数都上百了，真正认真回帖的却总是就那几个人，可能很多人都是怕出错吧。


本期练习参考分析结果见：34楼，35楼，36楼
仅供参考，且不提供具体处理步骤；

======================================
日志分析练习索引：
20080811
20080812
20080813
20080815
======================================

第一篇日志 20080811_1.log
参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\offscrlk.exe
c:\windows\system32\mrejlzk\svchost.exe
c:\program files\internet explorer\explorent.dat
c:\program files\internet explorer\explorent.sys
c:\program files\internet explorer\explorent.win
c:\program files\internet explorer\plugins\winnt64.sys
c:\windows\system32\120133.dat
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\dvgydbuad.dll
c:\windows\system32\jfrwdh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\mttwfh.dll
c:\windows\system32\qnxtkxyx.dll
c:\windows\system32\raaryuep.dll
c:\windows\system32\tdffdl.dll
c:\windows\system32\tdfhex.dll
c:\windows\system32\120196.dat
c:\windows\system32\rmjgvdmm.dll
c:\windows\system32\48c2.sys
c:\windows\system32\b3c2f.sys
———————————————————————————————————————
从下面项可看出这些文件可能已经不是系统本身的了：
<UIHost><logonui.exe>  [(Verified)]
可以考虑从dllcache中或到其他机器的相同系统中找到该文件进行替换；
———————————————————————————————————————
可疑注册表启动项：
[{0B846B26-BFE6-4E8E-A948-1DB17B77B483}]    <C:\WINDOWS\system32\tdfhex.dll>
[{841529CB-7F77-4B99-A895-B5441E0D302F}]    <C:\WINDOWS\system32\jfrwdh.dll>
[{C0595A7E-2E2F-4B34-A83A-019270A0A464}]    <C:\WINDOWS\system32\tdffdl.dll>
[{021F087F-4378-545F-74FA-37D345AD7A8C}]    <C:\WINDOWS\system32\mttwfh.dll>
———————————————————————————————————————
可疑驱动项：
[48c2 / 48c2]    <\??\C:\WINDOWS\system32\48c2.sys>
[b3c2F / b3c2F]    <\??\C:\WINDOWS\system32\b3c2F.sys>
———————————————————————————————————————
可疑浏览器加载项：
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.win>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinNt64.Sys>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Dat>
[]    <C:\Program Files\Internet Explorer\ExploreNt.Sys>

第二篇日志 20080811_2.log
参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\gdipro.dll
c:\windows\system32\sys07003.dll
c:\windows\system32\mfc40loc.dll
c:\windows\system32\avicapwm.dll
c:\windows\system32\certmgrkd.dll
c:\windows\system32\kncer32.dll
c:\windows\system32\zofaianu.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\dpvvoxmh.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\tscfgwmijxsj.dll
c:\windows\system32\imgutilhx2.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\dispexcb.dll
c:\windows\system32\cliconfgzx.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\srpcss.dll
c:\windows\system32\drivers\msiffei.sys
c:\docume~1\admini~1\locals~1\temp\1.tmp
offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll
kncer32.exe
红色的这些文件都不带路径，如果借助xdelbox之类的工具删除的话要注意一下哦
———————————————————————————————————————
可疑注册表启动项：
[zofaianu.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[pvuzehed.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[plrhrebn.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[dimygspd.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[mqzuhbva.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[bpidufhz.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[hcihisoj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[qvrxpduj.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[jpkerkxk.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[avicapwm.dll]    <C:\WINDOWS\system32\avicapwm.dll>
[certmgrkd.dll]    <C:\WINDOWS\system32\certmgrkd.dll>
[pygvdsxs.dll]    <C:\WINDOWS\system32\zofaianu.dll>
[{6B9FEAD7-4319-4312-AB05-D8C9CD255BFE}]    <C:\WINDOWS\system32\avicapwm.dll>
[{9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5}]    <C:\WINDOWS\system32\certmgrkd.dll>
[{21BE5FDF-D4CB-4850-AD99-21E68B50BF3F}]    <C:\WINDOWS\system32\zofaianu.dll>
[kcien32]    <kncer32.exe>
[{2876D76C-CAAA-4313-AF97-8D1D9A2A1087}]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}]    <C:\WINDOWS\system32\lweurqhx.dll>
[{2CB77746-8ECC-40ca-8217-10CA8BE5EFC8}]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{DA56B183-A731-402b-9235-2CB8803E212D}]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}]    <C:\WINDOWS\system32\xolehlpjh.dll>
[{76D44356-B494-443a-BEDC-AA68DE4255E6}]    <C:\WINDOWS\system32\dispexcb.dll>
[{7A6DF30E-D0F2-446f-B4F0-BF4232D60E07}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[cliconfgzx.dll]    <C:\WINDOWS\system32\cliconfgzx.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[bootvidgj.dll]    <C:\WINDOWS\system32\bootvidgj.dll>
[imgutilhx2.dll]    <C:\WINDOWS\system32\imgutilhx2.dll>
[{00050005-0005-0005-0005-00050005BB15}]    <C:\WINDOWS\system32\cliconfgzx.dll>
[{E0F3526A-4165-4589-80CD-50B6FBAC3BDA}]    <C:\WINDOWS\system32\adsntzt.dll>
[dpvvoxmh.dll]    <C:\WINDOWS\system32\dpvvoxmh.dll>
[lweurqhx.dll]    <C:\WINDOWS\system32\lweurqhx.dll>
[tscfgwmijxsj.dll]    <C:\WINDOWS\system32\tscfgwmijxsj.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}]    <C:\WINDOWS\system32\bootvidgj.dll>
[xolehlpjh.dll]    <C:\WINDOWS\system32\xolehlpjh.dll>
[dispexcb.dll]    <C:\WINDOWS\system32\dispexcb.dll>
[IFEO[360safebox.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[ati2evxx.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[egui.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[esafe.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[idag.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[kaccore.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[kissvc.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[KPPMain.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[KVFW.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[OllyDBG.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[OllyICE.EXE]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[procexp.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[qqsc.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[ravtool.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[regtool.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[rfwproxy.exeFYFireWall.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[rfwstub.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[safebank.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[safeboxtray.exe]]    <C:\WINDOWS\system32\svchost.exe>
[IFEO[WinDbg.exe]]    <C:\WINDOWS\system32\svchost.exe>
[{00300030-0030-0030-0030-00300030BB15}]    <C:\WINDOWS\system32\imgutilhx2.dll>
———————————————————————————————————————
需要修复的启动项：
[AppInit_DLLs]：
把<offscrl.dll squalle.dll ckicps.dll cmonos.dll lenowos.dll therbrek.dll pciboxl.dll wdhotem.dll aliens.dll esceps.dll mssetd.dll nvidons.dll tesxdx.dll rmbsony.dll jolinos.dll dearnts.dll joause.dll fackwir.dll,kmon.dll>
修改为<kmon.dll>
———————————————————————————————————————
可疑服务项：
[Remote Procedure Call (RPC) / RpcSs]    <C:\WINDOWS\system32\svchost -k rpcss-->C:\WINDOWS\system32\srpcss.dll>
需要注意的是这个服务项不是要删除的，而是要修复
可以直接到注册表如下位置：
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\Parameters]
将<ServiceDll>的值改为%SystemRoot%\system32\rpcss.dll
———————————————————————————————————————
可疑驱动项：
[msiffei / msiffei]    <System32\Drivers\msiffei.sys>
[IIS Manager  / IIS Manager ]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp>
———————————————————————————————————————

第三篇日志 20080811_3.log
参考分析结果：
———————————————————————————————————————
可疑文件：
c:\windows\system32\mghefy.dll
c:\windows\system32\ydggsx.dll
c:\docume~1\admini~1\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\hbkernel.sys
———————————————————————————————————————
可疑注册表启动项：
[{000030AE-0380-4351-8244-EE98A3240370}]    <C:\WINDOWS\system32\mghefy.dll>
[{0086DD39-EB8E-4504-A085-AC8A433E34D0}]    <C:\WINDOWS\system32\ydggsx.dll>
———————————————————————————————————————
可疑驱动项：
[wxuro / wxuro]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>
———————————————————————————————————————