日历
| |||||||||
| 日 | 一 | 二 | 三 | 四 | 五 | 六 | |||
| 1 | 2 | 3 | 4 | 5 | |||||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 | |||
| 13 | 14 | 15 | 16 | 17 | 18 | 19 | |||
| 20 | 21 | 22 | 23 | 24 | 25 | 26 | |||
| 27 | 28 | 29 | 30 | 31 | |||||
搜索标题
我的好友
统计信息
- 访问量: 1217
- 日志数: 2
- 建立时间: 2007-09-09
- 更新时间: 2007-09-09
RSS订阅
我的最新日志
-
Four Days' Journey of Vista
2008-1-19
原r创内容,转载请注明来自雅虎空间http://i.cn.yahoo.com/limuyuanblog/blog/p_138/
加装了1G内存之后,我就有了升级到Vista的打算。前几天晚上,闲着无聊,偶然在远景论坛看到一个帖子,那里发了个Vista Ultimate(旗舰版)的BT下载链接。那人说是Dell原版光盘的拷贝。听起来还不错,我就下载了……结果,开了一晚上的迅雷,到了第二天早上还没有下完……以下为迅雷的任务信息:
种子:
文件名称: VISTA_32_ULTIMATE_CHS_DELL.3651403.TPB.torrent
文件大小: 27.30KB
文件类型: TORRENT 文件
位置: E:\TDDOWNLOAD\Software\
URL: http://torrents.thepiratebay.org/3651403/VISTA_32_ULTIMATE_CHS_DELL.3651403....
任务创建时间: 2008-1-13 20:17:06
任务完成时间: 2008-1-13 20:17:15
下载用时: 00:00:04
平均速度: 6.82KB/s
注释:
任务说明: 未从原始地址获得数据
文件:
任务名称: [email=VISTA_32_ULTIMATE_CHS@DELL]VISTA_32_ULTIMATE_CHS@DELL[/email]
文件大小: 2.68GB
已选大小: 2.68GB
健康度: 0%
特征值: 5D2DD36252DF8832275F685D30CA0AA19D6C1E7B
本次上传:
累计上传: 1.19MB
分享信息:
位置: E:\TDDOWNLOAD\Software\
任务创建时间: 2008-1-13 20:17:20
任务完成时间: 2008-1-14 7:09:09
下载用时: 10:44:17
平均速度: 72.59KB/s
需要说明的是,下载到的两个文件是光盘镜像,可以用Alcohol 120%虚拟光驱,然后载入镜像,再将虚拟光驱中的文件拷贝到硬盘,再运行硬盘中的安装程序因为如果是升级安装,Vista不支持Alcohol 120%。
不光是下载的时间长,安装的时间也相当长。我本来以为只要半个小时左右就能安好的,可是竟然安了整整一个中午(11:30~13:00)+晚上(22:00~22:30)……
安装的过程中重新启动了几次。在XP下,运行安装程序,检查更新及系统性能后会自动重新启动一次(Vista只可以安装到NTFS分区,所以我就把C盘转了……)。然后从操作系统选择菜单(和XP的有区别)中再次进入安装程序,过了一会还要重启。就在这时,我发现,硬盘引导的时候,没有出现“Press F11 to start the recovery system(好像是吧,我记不清楚了,反正就是按F11可以进入一键还原精灵)”的字样!按F11也没有反应……那里面可是放了一份FAT32格式的C盘备份呀……心一下就悬了起来……万一安装失败……
终于安装成功咯!开机速度虽然能慢点,但是进入Vista之后的速度就比较快了……嗯,好好看看,效果还真不错哎~~选两张图吧~~作为我使用Vista的纪念……
Windows中集成了IE7和Windows Defender,如果想在Windows XP中安装,需要正版系统。解决方法请看我论坛里的这个帖子:http://antivirus.5d6d.com/thread-200-1-1.html
但是,高兴之余,也发现了一些问题……
首先有提示说未找到杀毒软件,原来我的小红伞没有运行。没有杀毒软件怎么行?找到Antivir的安装目录,运行红伞的程序,系统托盘里出来了,但是Guard怎么也打不开,MS是不支持吧。我也不太明白,想起下载avast!的时候好像在那上面看到了个Vista的N颗星的标志,于是我就换用家庭版的avast!了,速度还不错。
查看系统属性,在最下面发现了一行字“您还有3天时间来自动激活Windows”。我一看就懵了,然后上网到处搜索了一下,意思好像就是我只能用三天……超过三天不激活就用不了了……这怎么能行呢?上网好一通找,忙到大半夜,也不知道问题到底解决了没有。现在看,好像是解决了吧,因为第二天、第三天再看,还是“您还有3天时间来自动激活Windows”……真是晕了……
发现右下角的小喇叭上有一个红色的叉,把鼠标放到上面,出来提示“音频服务尚未启动”。我开始以为是AC97'声卡驱动的问题,就上网上搜索了一下,在mydrivers里找到了一个,安装,重启,还是那样。又上微星的网上找主板和声卡For Vista 32Bit的驱动,安装,重启,也还提示说“音频服务尚未启动”。后来,在服务里面看到一项“Windows Audio”,但是怎么也启动不了。详情请看我在电脑爱好者论坛里发的这个帖子:http://bbs.cfan.com.cn/thread-668067-1-1.html
想打字吧,发现输入法指示器没有了,只能通过CTRL+SPACE打开微软拼音输入法……上网查解决方案,通过在{HKLM\Microsoft\Windows\CurrentVersion\Run}建一个ctfmon.exe的项解决。
想看看以前的程序还在不在,点击控制面板里的“卸载程序”,却发现,除声卡驱动之外别无他物……于是乎解嘲也似地对别人说,啊哈,Vista真好,所有的软件都成了绿色软件了……于是就想趁这个机会直接删除一些程序,包括比特彗星、电骡等。可是我却忘了,电骡的目录下还有一些程序……有些还是我花了七八个小时才下载到的……晕,这下损失可大了……后来通过Recover 4 All才恢复……下载页面及注册码:http://free.cnzz.cc/1649.html
还有其他的一些比较郁闷的事,比如,我1.5G的内存,开QQ居然都卡……
因为声音无论如何也调不出来及一些其他的原因,我准备,换回Windows XP……怎么换呢?哦呵呵,我前面说过,我在C盘还是FAT32分区的时候,就用一键还原精灵备份了下……现在一键还原精灵虽然进不去了,可是那个隐藏分区还在,文件也就在……
我开始的想法是,先运行一下安装程序,调一下按键,这样就应该能够通过开机按F11的方式调出还原精灵,然后恢复……可是,一键还原精灵的安装程序已经更新了,安装程序运行不了,提示无法安装到Vista系统中,可以下载Vista版的……郁闷……用Google以“安装Vista后,还原精灵”为关键词搜索了一下,结果搜到的大部分都是问问题的,还没有答复……哼,这点小问题难道就难得倒我??
终于想起来,可以通过软件来取消隐藏分区……以前我用过的,还进行了“重建分区表”操作……当时不知道是干什么用的,可是弄完之后发现所有的盘符都不见了……汗……好像是Disk Genius?上网下载了个,可是运行不了。猛然想起自己买的装机软件光盘有系统引导功能,那里面有一些实用软件。抱着试试看的心理用光盘引导,进入PQMagic中文版,嘿嘿,和我前几年看到的那个画面一样!下面果然有两个分区是隐藏的,把那个卷标为SYS_BACKUP的分区取消隐藏,重新启动,果然在“计算机”中看到了那个盘符……
然后就是如何进入GHOST来还原了。我的光盘虽然带了GHOST,不过当我选择恢复镜像文件时,提示需要一个更新版本的GHOST……我就从网上找了GHOST 优盘版,开机自检时按F11(我主板的BIOS是AMI的,按F11可以选择启动设备。Award的BIOS就要在CMOS里将U盘设置为第一启动设备),选择Netac Onlydisk(我U盘是朗科的),然后出来了三个选项,第一个是1key recovery,第二个是GHOST,第三个记不清了,选择第二个,点击Partition→From Image,找到那个隐藏分区中的WIN.GHO,选择覆盖C盘,OK。十分钟的“漫长”之后,重新启动电脑,熟悉的Windows XP画面又出现在眼前……心里还真不知道是什么滋味……
从2008-1-14晚上到昨天(2008-1-18)晚上,我整整用了4天……还是没有出来让我激活的提示……这四天里,对Vista也有了个大概的了解……其实,除了好看,Vista还有一些XP没有的功能。比如,当移动文件时,进度窗口中除了显示剩余时间外还显示每秒钟传输的文件字节数……Vista还提供了强大的搜索功能,几乎在所有的窗口中都有“搜索”的位置,输入想要搜索的文件名,直接就会出来……
不过,Vista现在好像还是太新了点,会出现很多问题。所以,现在不推荐升级到Vista,目前还是XP最好。还在网上看到一条消息,说Vista要比XP慢10%~15%。前几天听说微软会出Windows XP SP3,期待ING~~
好了,就说这么多,吃饭去咯~
PS:我在写博客的时候,还将Vista自带的一些图片传到了Flickr.com上,呵呵,现在发上链接,与大家分享~~安装了一遍Vista,总不能什么都不留下吧?哈哈……o(∩_∩)o
http://www.flickr.com/photos/limuyuan/
-
教你分析SREng日志
2007-9-09
前言
我接触SREng的时间并不长。第一次接触SREng,是在今年4月。那时我们家才刚刚上网。有一天我上网的时候,发现瑞星弹出了好几条修改注册表的信息,开始没注意,允许了几个,后来才感觉不对劲……然后在任务管理器里面发现了有个mppds.exe。尽管当时我的水平并不是很高,但是直觉告诉我这个进程有问题。所以我就用瑞星的卡卡扫了个日志,发到了卡卡论坛上。在那里,我第一次接触到了SREng这个词……
附:帖子地址http://forum.ikaka.com/topic.asp?board=28&artid=8290806
我现在再看那个日志,我自己也能发现所有的问题了。
我的问题解决之后,我就对SREng这个软件产生了兴趣:扫个日志就能解决问题!后来,我加入了水树雨下签名里的(现在没有了)反病毒交流群,在那里,我和他们学到了好多东西,经验也一点点地丰富起来了。
我还看过一个SREng日志的分析教程,对我的帮助也比较大。附上地址:
http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html
下面我就从最基本的开始,教大家怎样看SREng日志。看完这个就会知道:其实分析日志是一件很简单的事!千万不要被这么长的篇幅吓到哦!希望大家有耐心看完!
我的目的就是,让所有看过的人都能够自己分析SREng日志!呵呵~~
PS:在这里我附上了kuing、竹风铃和我自己的日志。所以篇幅会显得特别长。其实如果把所附日志去掉,篇幅就会很短了……所以一定要有耐心……
另:在写《浏览器加载项 分析方法》的时候,得到了ho121的帮助,在此提出感谢~~
如果发现病毒,先别着急删,请先看清除方法。发现病毒后清除方法:
删除顺序:服务驱动——进程——Autorun.inf——其他项目。
删除服务可以用费尔木马强力清除助手(不要直接双击硬盘),删除进程可以用冰刃(IceSword)。
这个地址是本人好不容易才找到的,别的软件都很好找,自己搜索去吧
费尔木马强力清除助手下载地址:http://soft.52z.com/Down2.Asp?ID=6652&action=0&key=a7b9927e00c6d5ee8f2ba20111a3b381
其它项目用费尔木马强力清除助手删除就可以了。注册表启动项目可以直接用SREng删除。
用费尔木马强力清除助手删除服务驱动及其他文件的时候,要勾选“抑制文件再次生成”
为保险起见,清除之前最好先备份一下系统扫描日志方法:首先,请到这里下载最新版的SREng:
http://download.kztechs.com/files/sreng2.zip(地址没变,还是以前的地址。不过内容变了哦!如果用迅雷,一定要重新下载一遍!)
解压,运行其中的SREngPS.exe。(最好是以管理员权限帐户运行,这样扫描的效果最好)
如果为英文界面,单击菜单栏里的Tools——Options,在弹出窗口里的Please select a lauguage下面的下拉三角中选择Simplifed Chinese,点Ok,重启程序就变成中文的了。如图:
打开SREng后,屏幕右下角有可能出来这个通知,不用管它,直接点“关闭”。因为这很可能是杀毒软件进行的正常修改,再说如果扫描个日志,这项信息也会出现在日志中,千万不要自行修复入口点错误!!
下面要开始扫描了。扫描之前最好能够把QQ、迅雷、IE等一切不必要的程序关掉(如果是特定软件出了问题,扫描的时候要把那个软件打开)。准备好之后,点SREng界面内的“智能扫描”,把上面的那几项全部选中,然后选择下面的“检查进程模块的数字签名”(防止一些病毒用了假的数字签名)。最后点“扫描”。
新版SREng的扫描速度比较快,据说要比旧版的速度提高三倍以上。下图是新版SREng的扫描界面,是不是一目了然呢?
扫描结束后,单击“保存报告”,会保存为一个文件名为SREngLOG.log的日志文件。用记事本打开,按CTRL+A、CTRL+C全选复制,然后可以把这个日志粘贴(CTRL+V)到论坛上面。
我要教大家的并不是怎么把日志传到论坛上面让别人帮忙看,而是自己去分析!看着那一大堆密密麻麻的英文字母和符号,是不是心里一点底也没有?呵呵,不要紧,刚开始都会这样的,等熟悉了就好了。下面我就一段一段地把SREng日志的分析方法教给大家!启动项目:注册表、启动文件夹 分析方法:我们首先来看日志的开头部分(以kuing的日志为例,本人应该不会介意吧……):[CODE]
2007-07-07,22:56:31
System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中:
所有的启动项目(包括注册表、启动文件夹、服务等)
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。
现在我们来看这部分启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load> <> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<igfxtray><C:\WINDOWS\system32\igfxtray.exe> [(Verified)Microsoft Windows Publisher]
<igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<igfxpers><C:\WINDOWS\system32\igfxpers.exe> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.]
<RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.]
<runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]
<{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
<WinlogonNotify: igfxcui><igfxdev.dll> [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
<WinlogonNotify: WgaLogon><WgaLogon.dll> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
<Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
<Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
<Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
<Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
<NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
<Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser> [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
<Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub> [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
<通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [N/A]
==================================
启动文件夹
N/A
这段日志里可以看出,你电脑开机的时候都会运行哪些程序。
粉色字样的是是注册表项。也就是这个程序在注册表中的位置。如果是病毒,可以通过开始——运行输入regedit,查找该键值来取消病毒的自动启动。
注册表项下一行,“< >”里面的,前面的是这个注册表项的键,后面的是这个键的键值。再后面,是程序的公司版本信息。如果通过了数字签名验证,在Microsoft的前面会有(Verified) 的字样。
PS:颜色是我自己加上的。颜色只弄了一部分,其他的类推,不用我全弄上了吧……
分析方法:对于新手来说,最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块,(*.exe、*.dll),可以上www.google.cn去搜索一下,时间长了,积累些经验,下次再看到这些进程的时候,心里就有点底啦!注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件(如ATi催化剂、音效管理员)等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程,后面的公司信息是[N/A],这个很有可能就是病毒!!
%systemroot%是系统安装目录,如果是Win98或者XP之类的,对应目录一般为C:\WINDOWS\;如果为WinNT或者2000,对应目录一般为C:\WINNT
============================================================
一般的启动程序都是在下面这些项里面了,要好好分析哦~~对于不确定的进程,到www.google.cn里面查。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
============================================================
下面这四项要注意,如果日志里面的和这四个不一样,那么很可能就有问题
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Windows Publisher]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher](注意那个逗号!这个逗号不可省略)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
============================================================
如果有下面的这两项,“<>”里面有进程,很可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
<run><> [N/A]
============================================================
下面这两项下面如果有键,也可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
============================================================
下面的三项如果有除了杀毒软件之外的键,很可能有问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
============================================================
可信项目(即有N/A,但可以确定没问题的项目):
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load> <> [N/A]
<run> <> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]
如果“<>”里面没有东西,以上几项可以排除
%systemroot%\system32\shmgrate.exe
这个进程,虽然有些网站上说是病毒,但是貌似只有新版的SREng才能扫出来这个,本人目前可以确定这个进程没问题
%ProgramFiles%\Outlook Express\setup50.exe
这个进程也可以确定没问题
要注意路径!!
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k> [N/A]
这一项也可以排除
============================================================
还有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,如果通过数字签名,在公司名称的前面会有个(Verified)
启动文件夹,就是你点“开始”——“程序”——“启动”那里面的文件,一般不会有什么问题(因为大部分病毒没那么弱智……放在这里,一般的菜鸟都能看出来……),但也不能掉以轻心!!
举几个病毒的例子:
<MsServer><msfir80.exe> [N/A]
很明显的,有 [N/A],一下就注意到这个了。
<x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl132.exe> [N/A]
这个有点难度,注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1,正常的应该是两个字母l(rundll32.exe)。
<4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> []
这个和上面的那个是一个类型的,这个程序的名称一般人都能看出来有问题……还没有公司信息,键名也很奇怪。
上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的
这两个有点特殊:
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A]
这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,所以是病毒,删掉。
还有个特殊的:SYSEXPLR.EXE这个程序,如果在超级解霸的目录下(比如HeroV8),那么就可以排除……如果在别的地方,可能就是冰河木马
这一项就介绍到这里啦~~服务、驱动程序 分析方法:这里的服务和驱动,显示的是非Windows自带的第三方服务驱动。
粉红色的是服务或驱动的名称,红色的是状态,蓝色的是启动方式,橙色的为文件的路径,紫色的为公司名称信息。
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个服务,如果在进程里面没有特殊项的时候,是可信的,不用管它。
如果发现有其他的公司名称为N/A的或者假冒微软的服务和驱动,还有的服务驱动名称很奇怪,这样用Google和百度都搜索一下,搜索不到就有问题了。
再引用下kuing的日志……服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Rising Proxy Service / RfwProxySrv][Stopped/Manual Start]
<c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService][Running/Auto Start]
<c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
<"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
<"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
==================================
驱动程序
[2310_00 / 2310_00][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.>
[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A>
[A320RAID / A320RAID][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\a320raid.sys><Adaptec, Inc.>
[AAC / AAC][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\aac.sys><Adaptec, Inc.>
[AACSAS / AACSAS][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\aacsas.sys><Adaptec, Inc.>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
<system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[AmdK8 Compatible Device / AmdK8][Stopped/System Start]
<System32\BIRD\amdk8.sys><Advanced Micro Devices>
[ARCM_X86 / ARCM_X86][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\arcm_x86.sys><ARECA Technology Corporation>
[Rising TDI Base Driver / BaseTDI][Running/Auto Start]
<System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.>
[BCHTSW32 / BCHTSW32][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\bchtsw32.sys><Broadcom Corporation>
[dpti2o / dpti2o][Running/Boot Start]
<\SystemRoot\System32\BIRD\dpti2o.sys><Microsoft Corporation>
[ExpScaner / ExpScaner][Running/Auto Start]
<\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><>
[FASTSX / FASTSX][Running/Boot Start]
<\SystemRoot\System32\BIRD\fastsx.sys><Promise Technology, Inc.>
[FASTTRAK / FASTTRAK][Running/Boot Start]
<\??\C:\WINDOWS\system32\drivers\hjg47ql8p.sys><N/A>
[HookCont / HookCont][Running/Auto Start]
<\??\C:\PROGRAM FILES\RISING\RAV\HOOKCONT.sys><Rising>
[HookReg / HookReg][Running/Auto Start]
<\??\C:\PROGRAM FILES\RISING\RAV\HookReg.sys><>
[HookSys / HookSys][Running/Auto Start]
<\??\C:\PROGRAM FILES\RISING\RAV\HookSys.sys><Rising>
[HookUrl / HookUrl][Running/Auto Start]
<\??\C:\Program Files\Rising\Rfw\HookUrl.sys><Beijing Rising Technology Co., Ltd.>
[HPT3XX / HPT3XX][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\hpt3xx.sys><HighPoint Technologies, Inc.>
[ialm / ialm][Running/Manual Start]
<system32\DRIVERS\ialmnt5.sys><Intel Corporation>
[IASTOR / IASTOR][Running/Boot Start]
<\SystemRoot\System32\BIRD\iaStor.sys><Intel Corporation>
<\SystemRoot\System32\BIRD\m5289.sys><ULi Electronics Inc.>
[MEGAIDE / MEGAIDE][Running/Boot Start]
<\SystemRoot\System32\BIRD\MegaIDE.sys><LSI Logic Corporation.>
[MEMSCAN / MEMSCAN][Running/Auto Start]
<\??\C:\PROGRAM FILES\RISING\RAV\MEMSCAN.sys><瑞星软件有限公司>
[mProcRs / mProcRs][Running/Auto Start]
<\??\c:\program files\rising\rfw\mProcRs.sys><Beijing Rising Technology Co., Ltd.>
[mraid35x / mraid35x][Running/Boot Start]
<\SystemRoot\System32\BIRD\mraid35x.sys><LSI Logic Corporation>
[NFRD960 / NFRD960][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\nfrd960.sys><IBM Corporation>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><Politecnico di Torino>
[npkcrypt / npkcrypt][Running/Auto Start]
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv][Stopped/Manual Start]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[NVATABUS / NVATABUS][Running/Boot Start]
<\SystemRoot\System32\BIRD\NVATABUS.SYS><NVIDIA Corporation>
[PNP680R / PNP680R][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\pnp680r.sys><Silicon Image, Inc>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[ql1080 / ql1080][Running/Boot Start]
<\SystemRoot\System32\BIRD\ql1080.sys><QLogic Corporation>
[ql12160 / ql12160][Running/Boot Start]
<\SystemRoot\System32\BIRD\ql12160.sys><QLogic Corporation>
[ql1280 / ql1280][Running/Boot Start]
<\SystemRoot\System32\BIRD\ql1280.sys><QLogic Corporation>
[RAIDSRC / RAIDSRC][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\raidsrc.sys><Intel/ICP>
[RR232X / RR232X][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\rr232x.sys><HighPoint Technologies, Inc.>
[RsAntiSpyware / RsAntiSpyware][Running/Boot Start]
<\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising Technology Co., Ltd.>
[RsFwDrv / RsFwDrv][Running/Auto Start]
<\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
<\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.>
[RSPPSYS / RSPPSYS][Running/Auto Start]
<\??\C:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><Rising>
[Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver / RTL8023xp][Running/Manual Start]
<system32\DRIVERS\Rtlnicxp.sys><Realtek Semiconductor Corporation>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start]
<system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[S150SX8 / S150SX8][Running/Boot Start]
<\SystemRoot\System32\BIRD\S150sx8.sys><Promise Technology, Inc.>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[SI3112 / SI3112][Stopped/Boot Start]
<\SystemRoot\System32\BIRD\SI3112.sys><Silicon Image, Inc.>
[sym_u3 / sym_u3][Running/Boot Start]
<\SystemRoot\System32\BIRD\sym_u3.sys><LSI Logic>
[TwoTrack Compatible Device / TwoTrack][Stopped/Manual Start]
<System32\DRIVERS\TwoTrack.sys><IBM Corporation>
==================================我把BIRD的驱动省略掉了好多,否则篇幅会是现在的n倍……
如果驱动程序的路径是\SystemRoot\System32\BIRD\,完全可以无视掉……
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
[klif / klif][Running/System Start]
<\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
这两个驱动程序都是可信的,虽然第二个有时候可能显示为有<N/A>,但大家也不用去管它,注意路径就可以了。
有时候会出现双驱动的情况,要格外注意!双驱动就是在一个路径下,同时出现两个文件名,文件名之间用空格隔开。这样的一定要看准啦!!浏览器加载项 分析方法:Hijackthis的作用在这里就显示出来啦!对应hijackhtis的02、03、08、09、016项,可以用 Hijackthis辅助分析,注意假冒假冒microsoft和macromedia的项
Hijackthis的使用及分析方法可以看Full-Moon版主的置顶帖:lol 。
不过要讲的是SREng日志的分析方法,这一项也不能略过……
这次引用下竹风铃的日志……
浏览器加载项
[Thunder Browser Helper]
{06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[启动迅雷5]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <D:\迅雷\Thunder.exe, Thunder Networking Technologies,LTD>
[豪杰超级解霸V8]
{367E0A21-8601-4986-9C9A-153BF5ACA118} <D:\豪杰超级解霸V8\STHSDVD.EXE, N/A>
[信息检索(&R)]
{92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation>
[Tencent Safety Online Base Module]
{C09B522F-8AED-4E21-A65C-DC1AB652BAEE} <C:\WINDOWS\DOWNLO~1\TSOBase.ocx, Tencent Corporation>
[ScienceWord Control 5.0]
{C29E7AB7-8C79-421A-AB75-0AE00E848C2D} <C:\WINDOWS\system32\SCIENC~1.OCX, Novoasoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[CPasswordEditCtrl Object]
{E787FD25-8D7C-4693-AE67-9406BC6E22DF} <C:\WINDOWS\system32\qqedit\qqedit.dll, 腾讯科技(深圳)有限公司>
[Thunder Browser Helper]
{06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
[AcroIEHlprObj Class]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Thunder Browser Helper]
{889D2FEB-5411-4565-8998-1DD2C5261283} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[AUDIO__MP3 Moniker Class]
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[&使用迅雷下载]
<D:\迅雷\Program\geturl.htm, N/A>
[&使用迅雷下载全部链接]
<D:\迅雷\Program\getallurl.htm, N/A>
[上传到QQ网络硬盘]
<E:\Q\AddToNetDisk.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
<res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
<E:\Q\AddPanel.htm, N/A>
[添加到QQ表情]
<E:\Q\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
<E:\Q\SendMMS.htm, N/A>
[豪杰超级解霸V8实时播放]
<D:\豪杰超级解霸V8\MPURLGET.HTM, N/A>
==================================粉色的是浏览器加载项名(也就是常说的BHO),蓝色部分是CLSID(有的BHO没有CLSID),一般每一种BHO都有唯一的CLSID,否则可能会有冲突,不用去分析。橙色部分是文件路径,紫色部分为公司名称。
分析的时候还是要注意公司名称,对公司名为N/A的,Google搜索一下。
下列几个为排除项目:
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
还有最下面那几项QQ和迅雷的,如果文件路径没有问题,也可以排除。
感谢ho121在我写这一项时对我的帮助!^_^
正在运行的进程 分析方法:
这一项可以说是整个日志的主体部分,一般来说也是最长的一部分!(有时驱动可能会更长)虽然分析这一项时需要注意的事项并不多,但是一定要细心,还要有耐心!不要错过任何一个可能是病毒的项目!
这次用谁的日志好呢……这次就用我自己的好了……o(∩_∩)o...哈哈
正在运行的进程
[PID: 712][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 776][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 292][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 320][e:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70]
[e:\program files\rising\rfw\RsGuiLib.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 33]
[e:\program files\rising\rfw\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5]
[e:\program files\rising\rfw\RfwCtrl.dll] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 11]
[e:\program files\rising\rfw\RsXML.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2]
[e:\program files\rising\rfw\PngDll.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[PID: 1164][C:\Program Files\ATI Technologies\ATI.ACE\cli.exe] [ATI Technologies Inc., 1.11.0.0]
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465]
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464]
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970]
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464]
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ]
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.component.runtime.dll] [ATI Technologies Inc., 1.2.2114.465]
[c:\program files\ati technologies\ati.ace\aem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_d3d144b1\system.drawing.dll] [N/A, ]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.runtime.dll] [ATI Technologies Inc., 1.2.2114.456]
[c:\program files\ati technologies\ati.ace\cli.component.runtime.shared.dll] [ATI Technologies Inc., 1.2.2026.29946]
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076]
[c:\program files\ati technologies\ati.ace\dem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945]
[c:\program files\ati technologies\ati.ace\dem.graphics.demosinfo.dll] [ATI Technologies Inc., 1.2.2026.29947]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\program files\ati technologies\ati.ace\dem.graphics.demosadapterinfo.dll] [ATI Technologies Inc., 1.2.2026.29960]
[c:\program files\ati technologies\ati.ace\dem.graphics.dematiadapterinfo.dll] [ATI Technologies Inc., 1.2.2095.19505]
[c:\program files\ati technologies\ati.ace\dem.graphics.demdriversettings.dll] [ATI Technologies Inc., 1.2.2026.29947]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573]
[PID: 1152][D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe] [Cyberlink Corp., 6.00.1027]
[D:\Program Files\CyberLink\PowerDVD\CLRCEngine2.dll] [CyberLink Corp., 3.2.2021 ]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 1532][C:\Program Files\Rising\AntiSpyware\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 6]
[C:\Program Files\Rising\AntiSpyware\iep_ctrl.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 4]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 1844][C:\Program Files\MSI\Live Update 3\LMonitor.exe] [, 1, 0, 0, 3]
[C:\Program Files\MSI\Live Update 3\Lang\res804.dll] [N/A, ]
[C:\Program Files\MSI\Live Update 3\nvgpio.dll] [NVIDIA Corporation, 1.0.1.5]
[C:\WINDOWS\system32\msdmo.dll] [, ]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 1972][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5, 1, 0, 58]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 1960][C:\Syswm1j\svchost.exe] [N/A, ]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 556][C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe] [ATI Technologies Inc., 1.11.0.0]
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465]
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464]
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970]
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464]
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ]
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.component.systemtray.dll] [ATI Technologies Inc., 1.2.2114.432]
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076]
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945]
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573]
[PID: 1400][E:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe] [Yahoo! Inc., 8,1,0,0]
[E:\Program Files\Yahoo!\Messenger\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[E:\Program Files\Yahoo!\Messenger\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\Program Files\Yahoo!\Shared\YbSkin2.dll] [Yahoo! Inc., 2006, 10, 11, 1]
[E:\Program Files\Yahoo!\Messenger\res_msgr.dll] [Yahoo! Inc., 8,5,0,1]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 2032][C:\WINDOWS\system32\wuauclt.exe] [Microsoft Corporation, 5.8.0.2469 built by: lab01_n(wmbla)]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 2468][E:\Program Files\Maxthon\Maxthon.exe] [Maxthon International Ltd., 1, 5, 9, 80]
[E:\Program Files\Maxthon\maxzlib.dll] [ , 1, 0, 0, 2]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CorperfmonExt.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[E:\Program Files\Maxthon\Services\RealTime\real_time.dll] [, 1, 0, 0, 1]
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorie.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorld.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx] [Adobe Systems, Inc., 9,0,28,0]
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[PID: 3956][E:\Program Files\Rising\Rav\RsAgent.exe] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 12]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[E:\Program Files\Rising\Rav\RsCommX.dll] [rising, 18, 0, 0, 1]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 4020][C:\WINDOWS\msagent\AgentSvr.exe] [Microsoft Corporation, 2.00.0.3424]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 2208][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll] [N/A, ]
[e:\program files\rising\rfw\jifvpyyl.dll] [N/A, ]
[D:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll] [Adobe Systems, Inc., 7.0.0.0]
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ]
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[PID: 3780][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 3624][C:\DOCUME~1\李牧原\LOCALS~1\Temp\Rar$EX02.359\SREng.EXE] [Smallfrogs Studio, 2.4.12.806]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
==================================http://bbs.pep.com.cn/viewthread.php?tid=90515
秋风树林的这个精华帖对于进程的名称已经讲得很明白了,对于进程名我就不想多说什么了。
下面讲一下分析方法:
PID:XXX:对于这一项,有兴趣的朋友可以参考一下10楼:什么是PID(进程标识符)
一般来说,进程前面没有[PID:XXXX]的进程是安全的,不用去分析。
我这个日志是用旧版的SREng扫描的,新版的SREng在进程前面的方括号[ ]里除了PID参数外,还有用户名。我的新版日志的方括号里面就是这样的:
[PID: 932 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 296 / 李牧原][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
“PID:XXX/ ”后面的SYSTEM和李牧原就是运行这项进程的用户名。SYSTEM说明这项进程为系统进程。
PID参数后面的,就是进程路径了。SystemRoot,如果是NT和2000系统,就是X:\WINNT,如果是XP之类的,就是C:\WINDOWS。再后面,就是公司信息。和前几项一样,如果是[N/A]或者假冒Microsoft Corporation,那么就是有问题的。
进程名称的下几行(如果有的话)是进程加载的dll。一般来说,有[N/A]的就是有问题的。这时候应该用Google搜索一下这个dll,如果发现有问题或者根本搜索不到,就应该删除。有的dll名称是随机的n位字母数字,一般来说都是有问题的。如:
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[e:\program files\rising\rfw\zpkjuwgv.dll] [N/A, ]
对于Explorer.EXE加载的dll要格外注意!其他杂项分析方法:
文件关联:一般来说,有Error的都是要修复的,除非关联的程序是自己安装的。例:txt的关联为UltraEdit-32。
Winsock 提供者:默认为N/A,如果不是N/A,先搜索一下,如果有问题,用LSPFix修复。修复后如果不能上网就用WinsockxpFix修复。
不过现在兔子,360,卡卡都有强力修复WinsockWinsock 提供者
MSAFD Tcpip [TCP/IP]
C:\WINDOWS\system32\ldmedia4.dll(, N/A)
MSAFD Tcpip [RAW/IP]
C:\WINDOWS\system32\ldmedia4.dll(, N/A)
==================================这个ldmedia4.dll就是有问题的,修复之后再删除这个文件就行了
Autorun.inf:默认也是空值,如果有程序,先搜索一下,如果有问题,删除该程序。例:
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[F:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
==================================删除各磁盘根目录下的autorun.inf和auto.exe。
HOSTS 文件:默认值为:
HOSTS 文件如果和默认值不符,一般需要用SREng修复HOSTS文件。
127.0.0.1 localhost
==================================进程特权扫描:搜索进程,如果是病毒,删除之。
API HOOK:先搜索那几个文件,如果有问题,启动SREng时,右下角会出来提示,先点击“查看详情”,再点“修复入口点错误”就可以了。
隐藏进程:搜索进程,如果是病毒,删除之。
小结:
分析日志,一定要细心,还要有耐心。不要用分析助手,有可能会错过一些重要的项目!
防范……网上已经有很多了,总之就是不要打开陌生的网站,用可移动存储设备之前要杀毒……在这里不再赘述……
希望大家都能够学会……这是我最大的心愿……
PS:搜索方法:dll和sys文件如果Google搜索不到,再用雅虎和百度搜索一下,如果都搜索不到,那么很可能就是有问题的。
进程文件直接用google搜索就可以了,也可以搜索搜索删除的方法