病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 部分还原和监控系统的进程Outlook Express非正常备份 »

SREng日志分析实例讲解

  SREng日志分析其实并不难,技术含量不高,很容易掌握,虽然内容很多,但是可以利用分析助手之类的工具把它们分类显示,这样就比较好看,注意分析助手并不能帮你分析日志,它只是分类显示内容,也有智能分析的工具,但是这类工具目前并不好用,我们还是自己来吧。

以下为一完整的日志,我们从头开始(红色代表危险,绿色代表正常,蓝色未知):

  ************开始********

2003-12-31,12:43:27 注意这里,显示2003年,不是以前扫描的,而是因为病毒修改了系统时间,接下去是一些操作系统和SREng的版本信息,所以建议上传日志的时候,一定要完整上传,否则可能遗漏有用的东西

System Repair Engineer 2.7.0.1210
Smallfrogs (http://www.KZTechs.com)

Windows XP Home Edition Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描
    计划任务
    API HOOK
    隐藏进程


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Component Publisher] 看后面[(Verified)Microsoft Windows Component Publisher],这个是文件出版的公司信息,其中的(Verified),说明ctfmon.exe这个启动项通过了文件签名验证,但不代表没有(Verified)就一定有问题,而有(Verified)的也要注意看下内容,有的指的是前半截通过验证,后半截所带的文件可能是病毒,确实有遇到过这样的例子,不过一般情况下我们可以信任(Verified),可以减少你的工作量,有利于恢复你的信心和耐心(更新:并非所有Verified都是安全的,如机器狗修改的文件就可能造成有Verified而列无公司名称的情况)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <HKSERV.EXE><C:\Program Files\Sony\HotKey Utility\HKserv.exe>  [Sony Corporation] 这里这没有(Verified),但看文件路径:\Program Files\Sony\HotKey Utility以及后面的公司信息[Sony Corporation],应该是SONY的预装的程序(此电脑为SONY的笔记本)
    <SonyPowerCfg><C:\Program Files\Sony\VAIO Power Management\SPMgr.exe>  [Sony Corporation]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.] 这个是realplayer的信息中心程序,有装过real的应该会知道,看看自己的电脑,没装过的去网上搜索一下,谷歌、百度都行,这算是比较容易搜索出来的文件名
    <RavTimer><C:\Program Files\Rising\Rav\RavTimer.exe>  [Beijing Rising Technology Co., Ltd.] 这个是瑞星,看文件路径就知道,下面几个也是,不用我多说了吧
    <RavMon><C:\Program Files\Rising\Rav\RavMon.exe -system>  [Beijing Rising Technology Co., Ltd.]
    <RfwMain><C:\Program Files\Rising\Rfw\rfwmain.exe>  [Beijing Rising Technology Corporation Limited]
    <Adobe Photo Downloader><"C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe">  [Adobe Systems Incorporated] photoshop,也是看文件路径和公司信息
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [] 来了,注意这个Explorer.exe后面的[]是空的,本来应该是有公司信息的,应该是[(Verified)Microsoft Windows Component Publisher]这样的,不清楚的可以在自己的电脑上扫描一份日志对照一下就明白了,前提是你的电脑是正常的状态。而且shell这个位置是个关键位置(日志中的关键位置都要仔细看,比如几个启动项等),如果这里被修改了,可能导致你的桌面就没了,以前常见的桌面丢失就是这里引起的,本例也是,开机后看不到桌面上的快捷方式、任务栏、开始菜单等,只有一个空空的桌面背景。因为这个explorer.exe有问题,要修复,方法,不是删除此注册表项,而是找一个正常的explorer.exe覆盖c:\windows下的同名文件,因为只是文件问题,注册表中就不用动了,如果此项显示的是<shell><>,后面为空值或其它什么东西,就要恢复到<shell><Explorer.exe>状态,在SREng中改也行,直接进入注册表编辑器中改也行。
    <Userinit><C:\WINDOWS\system32\UserInit.exe,>  [(Verified)Microsoft Windows Publisher] 这也是重要位置,记住它的默认值,注意有最后有个逗号,修复方法就是恢复默认值,如果此处被修改或文件UserInit.exe被感染或破坏,造成的结果就是开机后出现反复注销的状态、进不了系统(SREng具有修复此注册表项的功能)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><fmsiocps.dll,qvmigb.dll,yawdux.dll,qabjau.dll,zkqpsa.dll,wlicwl.dll,bstaks.dll,rvbwdq.dll,xuypvj.dll>  [N/A] 又有了,此项默认值是空值,后面插入这么多随机组合的文件名就是病毒了,一般没有文件路径的都在c:\windows\system32下,或者去c:\windows下找找,不过可能后面这么多文件并不是全存在的。另外注意,卡卡助手的kmon.dll或卡巴斯基(有显示自己的文件路径)也会把自己的文件插入此处,虽然SREng也照样会报告AppInit_DLLs被修改,但只要确认是正常的文件就不用修复了(要灵活一点)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher] 以下几个一般正常系统中都有的,而且也通过验证了,多看看日志或看看自己的电脑的日志就知道了,就算不知道哪些是不正常,正常的有哪些也知道了
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{AEB6717E-7E19-11d0-97EE-00C04FD91972}><shell32.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <PostBootReminder><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <CDBurn><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows Component Publisher]
    <WebCheck><%SystemRoot%\system32\webcheck.dll>  [(Verified)Microsoft Windows Publisher]
    <SysTray><C:\WINDOWS\system32\stobject.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll> &nbs