Google
      
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[安全问题] 病毒到了极其恐怖的地步,需要这一步

f567

啊慌

管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

宣传标兵 建设标兵

1# 发表于 2008-1-5 08:35  只看该作者

病毒到了极其恐怖的地步,需要这一步



       SOS!折磨得不行了,有很长时间!

       上新华网,打开跳转到色情页面.

       自动开启播放器!

       一对付它就死机!系统重装???安全模式???江民???=========死机!

       卡巴正常,但不报!

       卸IE7,装IE6,世界之窗,照旧!

       看今天能否解决!导出报告!应用SREng 修复


       还干掉了恶意软件清除专家.

搜索更多相关主题的帖子: 自动开启播放器 SREng修复 最强病毒 进程分析

你是否知道567部队?你也可以参加567部队!

引用 TOP

f567

啊慌

管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

宣传标兵 建设标兵

2# 发表于 2008-1-5 08:38  只看该作者
SREng相关百度资料


点击本图片会另有发现
photoshop 一、SREng 是什么?

SREng,全名System Repair Engineer(SREng):一般翻译为系统修复工程师,是世界上最先进的系统辅助分析工具之一。 SREng日志比Hijakcthis的更全(体现在hijackthis会遗漏一些启动项)另外 SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。

SRENG的官方网站为 http://www.kztechs.com/sreng
目前的最新版本为 2.5.16.900 版本

------------- 如下封装的内容为官方网站的说明  ------------------

System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具,在这个工具的帮助下,你可以察觉你的系统故障并能够很容易的修复他们。 他的日志比hiJakcthis的更全(体现在hijackthis会遗漏一些启动项)另外 SREng的日志能提供更详细的诊断信息,方便清除QQ尾巴等顽固病毒。

本工具的前身是 RegFix 注册表关键值修复工具,由于 RegFix 注册表关键值修复工具的局限性和当前系统环境的复杂性,我重新设计了一个新的软件,即 System Repair Engineer (SREng) 。

System Repair Engineer 的开发目的是:

★提供一个能够较快诊断出系统常见故障的工具。  

★能够修复大多数常见的故障。  

★能够生成一个扫描报告。  

★能够运行于多种操作系统平台下,支持多语言界面。  

★具备一定的自动检测修复能力。  

★便于扩充并且能够以最小的代价进行扩充。  

★System Adjust / Repair Utility 采用Microsoft Visual C++ .NET 2003 / MFC7.1开发,在MFC类库的基础上结合 Win32 API 做了适当的扩充以满足软件的需求。

★在 System Repair Engineer (SREng) 2.0版本里面,开放了近 20 项和系统维护相关的功能。System Repair Engineer

(SREng) 提供了以下一些功能:

★注册表启动组配置功能:能够允许/禁止注册表启动项是否随机启动。对于一些隐蔽启动组能够检测是否被篡改,如果默认值被篡改则会提示用户。

★常规启动组(使用启动文件夹启动的启动组)配置功能:能够允许/禁止文件夹启动项是否随机启动。

★WIN.INI、SYSTEM.INI、AUTOEXEC.BAT、CONFIG.SYS 配置功能:删除、新增、编辑项目。

★BOOT.INI配置功能:设置BOOT.INI默认启动项、设置延时时间,设置启动开关等。

★Win32服务配置功能:提供服务信息的枚举、禁用服务和删除服务功能。能够隐藏由 Microsoft Corp 发行的服务。

常见文件关联默认值自动检查修复功能

★Windows Shell 修复功能:修复常见的 Windows Shell 故障。

★Internet Explorer 修复功能:修复常见的 Internet Explorer 故障。

★浏览器加载项管理功能:包括BHO、工具栏、ActiveX、右键菜单项等。

★HOSTS文件配置功能:编辑、删除、新增HOSTS条目信息,

★Winsock Provider 配置功能:察看、删除Winsock Provider条目信息,

★智能扫描功能:智能扫描功能将扫描你的系统并给出一个详细的报告,在这个报告的帮助下,系统管理员能够发现一些你系统中存在的错误并告诉你如何使用 System Repair Engineer 或其他工具解决这些错误。

★我的扩展功能:以规则库的形式允许用户之间交换各自的配置,软件发行者也能够通过提供额外的规则库来增强软件的功能而不需要重新下载可执行文件。规则库的体积非常小巧,便于通过网络传输。

★内置的在线提示窗口:随时查看一些关键点的帮助信息。

★多语言自动切换功能或手工指定界面语言功能:想看什么语言界面就看什么语言界面,随心所欲。

大部分操作不需要重启或注销就能够立即生效功能:改变以往要使设置生效需要注销重新登陆的局面。

------------- 如上封装的内容为官方网站的说明  ------------------

二、SREng 如何下载和获得日志(LOG)?

1、官方下载地址 http://www.kztechs.com/sreng/download.html
请到官方网站下载,以保证使用安全。

2、步骤:运行软件,智能扫描 选择“检查进程文件的数字签名”扫描 保存 得到 SREngLOG.log(日志)

用记事本打开,将日志里的内容全部拷贝(ctrl+a, ctrl+c) 发表 或者将已经获得的 SREngLOG.log 这个文件作为附件,用电子邮件的方式发送给高手帮助分析。

>>>> 发送时候请务必在前面说明自己的系统故障的情况,以做到有的放矢的分析和判断,节约高手和专家们的时间,因为帮助你都是没有义务的……要想别人帮你,首先要学会如何尊重别人以及节约别人的时间。其实最好的方法就是自己学习分析……现在虽然网上有很多人能够帮你分析SREng日志,但是如果自己想学习分析SREng日志,在网上搜索一下“教你分析SREng日志”“SREng日志分析教程”之类的,也会有很多的。建议选择一些大型论坛的精华帖子进行学习。
  
二、如何使用 SREng 修复

前提:使用 SREng修复时,全部要求在安全模式下进行,以防止常规模式下清除不干净。

(进入安全模式的方法:启动电脑,出现“Windows XP”的进度条前,按F8,选择“安全模式”)

1 注册表

运行SREng主程序 点 启动 -->注册表 里找启动 ,找到有问题的,点“删除”按钮   

并注意手动删除相关的文件。

2 服务

SREng主程序 点 启动 -->服务 里找“服务”   

(勾选 隐藏微软的服务),选中有问题的服务后,点“删除所选服务”按钮,再点“否”即可。

(操作同上面的删除服务)   

3、关于SRENG 如何修复的图解
http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
或者水木社区 http://wwww.newsmth.net-->病毒版查询

=======
更新日志
=======
2.5.16.900
发布日期:2007/07/04

    * 增加多语言外置资源DLL支持:通过外挂不同的资源DLL实现对多语言的支持,而无须重新编译System Repair Engineer (SREng)主程序模块。
    * 增加繁体语言界面的官方支持。
    * 增加使用内核驱动进行Win32 API HOOK的详细信息显示功能:能够智能显示被HOOK的API是由哪个内核驱动进行HOOK的。
    * 扩展API HOOK检测范围:在 System Repair Engineer (SREng) 2.5 版本里面,扩大了API HOOK检测范围。
    * 提高API HOOK检测精确性:在 System Repair Engineer (SREng) 2.5 版本里面,继续更新检测方法,提高了API HOOK的检测精确性和稳定性。
    * 增加使用可疑文件自动收集功能时的第3方组件调用功能:能够将SREng检测到的可疑文件信息传递给一个具有合法数字签名的外置的第3方组件,可以由第三方组件实现可疑文件的上传、可疑文件的确认等工作。
    * 增加进程特权指令扫描功能:增加进程非必要特权指令的扫描功能,使用本功能能够更好的检测出可疑文件。
    * 增加映像劫持检测功能:增加对Image File Execution Options 项的扫描和修复功能。
    * 增加智能扫描时的进程用户名显示功能。
    * 提高智能扫描速度30%——300%:根据不同系统、不同环境,智能扫描速度提升30%——300%。
    * 重写了智能扫描进度框的显示模式:新的显示模式能够显示当前正在扫描的项目内容。
    * 调整了智能扫描结果框的显示模式:新的显示模式增加了对窗口缩放功能的支持。
    * 放松对Installed Components等新的启动类型的扫描限制
    * 注册表启动项可疑文件自动收集输出类别细化
    * 增加后台扫描支持:后台扫描模式下SREng将在后台自动执行智能扫描并生成扫描日志。系统管理员可以用自动扫描特性定期对系统进行扫描。后台扫描模式可以用 /escan 参数激活。
    * 调整泡泡窗口显示模式:对SREng里面的泡泡进行了修改,尽可能的降低由于泡泡带来的交互问题。
    * 增加 System Repair Engineer (SREng) 获取网站更新新信息的功能。
    * 取消System Repair Engineer (SREng)最低过期时间检查。
    * 调整了System Repair Engineer (SREng)紧急更新模式的交互模式。
    * 增加Windows Vista详细版本信息显示功能。
    * 增加NTFS流扫描插件。提供NTFS流威胁级别判定功能。
    * 提供NTFS流内容提取功能。
    * 优化浏览文件功能的文件定位准确度。
    * 在系统修复——高级修复里面增加调用API HOOK扫描按钮。
    * 修正了System Repair Engineer (SREng) 2.4版本里面引入的特殊情况下进程模块显示不全的BUG。
    * 修正了服务扫描时由于字符串溢出导致的一个崩溃现象。
    * 优化了部分算法,提高了软件的运行速度和稳定性。
    * 其他一些改进。

2.4.12.806
发布日期:2007/03/10
# 增加API HOOK详细信息显示功能:能够智能显示被HOOK的API是由哪个模块进行HOOK的。
# 增加入口点修复功能:能够自动修复System Repair Engineer (SREng) 进程中被HOOK的所有受支持的API入口点,解决由于API HOOK带来的文件、注册表等关键信息被隐藏的问题。
# 增加API 安全等级显示:能够显示被HOOK的API是否属于高危API,如果属于高危API,则会以红色高亮显示。
# 增加受信任HOOK模式:对于系统进行的HOOK,自动添加到受信任模式列表里面,同时自动降低被HOOK API 安全等级。
# 扩展API HOOK检测范围:在 System Repair Engineer (SREng) 2.4 版本里面,扩大了API HOOK检测范围。
# 提高API HOOK检测精确性:在 System Repair Engineer (SREng) 2.4 版本里面,采用了新的检测方法,提高了API HOOK的检测精确性和稳定性。
# 增加可疑文件自动提取功能:能够根据扫描结果自动的将日志里面的可疑文件自动提取到指定目录。支持注册表启动项、启动文件夹项目、服务应用程序、进程模块、API HOOK模块、可疑进程、Autorun.inf等20个种类。
# 增加可疑文件自动分类功能:能够根据扫描类别自动分类,并且支持同一份内容文件只保留一份,能够自动删除冗余文件。
# 增加数字签名发行者信息显示功能:能够直接显示被数字签名签署的文件是具体的签署者,能够更准确的判定被检测的文件是否安全。
# 增加隐藏进程扫描功能:对于无法通过正常途径检测到的进程,能够自动发出警告提示信息。
# 扩大扫描范围:增加对Installed Components等新的启动类型的扫描功能。
# 增加对Userinit和Shell两个启动键值的自动修复功能。
# 优化泡泡窗口显示模式:对于高危紧急通知,显示橘红色背景,否则以显示蓝色背景。
# 调整插件管理器工作模式:增加插件不全时引导下载功能。
# 增强System Repair Engineer (SREng)自身抗修改能力,当发现System Repair Engineer (SREng)进程空间里面有可疑数据时,能够自动警示用户。以缓解System Repair Engineer (SREng)被恶意修改导致无法正常工作的现象。
# 优化在线版本检测方式:新的方式优化了检测方法,能够更有效的检测线上新版本。同时增加了紧急更新模式。
# 增加网络活动监视器:能够监视TCP/UDP协议的连接情况。
# 修正以往版本里面存在的几个BUG。
# 提高了软件的稳定性。
# 调整插件用导出函数定义。System Repair Engineer (SREng) 2.4版本导出函数只提供ANSI接口。

2.3.13.690
发布日期:2006/12/25
# 增加 Win32 API HOOK 检测功能,让恶意软件无处藏身
# 启用泡泡提示系统
# 增加安全模式修复功能
# 增加导出函数,允许插件调用包括API HOOK检测在内的各种SREng核心功能
# 增加HOSTS文件重置功能
# 增加隐藏文件显示修复支持
# 调整智能扫描日志部分内容
# 增加注册表启动项、IE addons多选操作支持
# 提高智能扫描速度30%以上
# 增加随机窗口标题功能
# 增加Winsock Provider自动着色功能
# 增加文件关联修复界面显示当前关联的具体内容
# 增加支持Windows Vista 系统
# 增加软件内部异常处理机制
# 增加软件运行环境检测和自动修复功能
# 合并IE/Windows Shell修复界面
# 修正一些BUG
# 其它界面、交互上的调整

2.2.6.605
发布日期:2006/10/01
# 增加数字签名检查功能,对注册表启动项、服务、驱动进行被动式数字签名验证:彻底解决恶意程序伪造厂商版权信息的问题。
# 增加高级安全性判定:当属于安全项目时以绿色显示
# 增加 Winsock Provider 重置功能:解决由于 Winsock Provider 被恶意程序破坏导致无法使用 TCP 协议的问题。
# 增加对服务DLL枚举:解决恶意程序通过运行在 SVCHOST.EXE 进程里面而无法检查到的问题。
# 增加驱动程序在日志里面的显示
# 增加文件夹启动项的快捷方式指向的路径内容显示
# 增加 HOST 文件内容在日志里面的显示
# 增加 Autorun.INF 文件内容在日志里面的显示
# 增加智能扫描功能在扫描进程时验证进程模块的数字签名信息
# 增加知名WinlogonNotify过滤功能
# 提高软件启动速度,加快20-30%以上
# 增加插件是否有有效的来自KZTechs.COM的签名检查:防止恶意程序利用插件功能破坏用户系统
# 增加对Windows Vista的试验性支持
# 增加直接定位文件路径的功能
# 改善软件操作易用性
# 附带 Windows Shell 扩展菜单管理器插件模块
# 修正一些BUG
# 其他数十处调整

2.0.21.505 (2.0 RC2)
发布日期:2006/06/10
# 强化注册表启动项、进程、服务枚举检查功能
# 提供全新的服务、驱动配置界面
# 提供插件支持功能,允许用户自己编写插件
# 增加启动项、服务危险性判断规则,当发现可疑内容时会以颜色高亮显示(红色表示高危项目,蓝色表示未知安全状态项目)
# 增加一些注册表启动项自动检测
# 提供X64平台支持
# 整合 Services/Drivers Configuration Tool 全部功能
# 增加参数支持,可以使用 SREng.EXE /? 察看参数支持列表
# 内置程序内部检测调试日志生成功能
# 增加消息提示抑制功能,可以通过设置选项抑制某些提示信息
# 修正一些BUG
# 其他数十项改进

2.0.12.350 (2.0 RC1)
发布日期:2005/12/12
# 整合 Win98 和 Win2000 两套代码库
# 增加对Winsock Provider信息的检测
# 强化文件关联的修复能力
# 增加对 LNK、VBS、JS默认文件关联的修复能力
# 强化注册表启动项的查看能力
# 强化 IE 加载项信息查看能力
# 增加自动检查新版本功能
# 调整权限控制系统,非管理员权限用户也能执行一些特定的操作
# 启动项管理、IE加载项管理界面、Winsock Provider界面支持键盘操作(空格键、DELETE键)
# 修正特殊情形下 GDI 资源泄露BUG
# 修正特殊情况下的内存泄露BUG
# 其他数十项改进

1.1.0.269
发布日期:2005/07/24
# 增加识别 Windows XP或以上版本msconfig 禁用以后的注册表启动项目
# 增加 CHM、HLP、INI、INF 文件关联默认值修复功能
# 允许在智能扫描报告中显示文件关联具体内容
# 增加系统修复——文件关联修复时,在复选框上显示当前关联值
# 修正1.0版本在Windows 98上运行时注册表启动项项目禁用功能无效BUG
# 其他一些小的修改

你是否知道567部队?你也可以参加567部队!

引用 TOP

f567

啊慌

管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

宣传标兵 建设标兵

3# 发表于 2008-1-5 08:42  只看该作者
导出的报告XP-SP2)
复制内容到剪贴板
代码:
2008-01-04,22:59:52
System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <AVP><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe">  [(Verified)Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
    <WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\OneCard]
    <WinlogonNotify: OneCard><C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll>  [Cognizance Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp10.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89B4C1CD-B018-4511-B0A1-5476DBF70820}]
    <N/A><C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <AccelerometerSysTrayApplet><; C:\WINDOWS\system32\AccelerometerSt.exe>  [Hewlett-Packard Corporation]
    <CognizanceTS><; rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule>  [Cognizance Corporation]
    <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher]
    <IMSCMig><; C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>  [(Verified)Microsoft Corporation]
    <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Windows Publisher]
    <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Windows Publisher]
    <PTHOSTTR><; C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start>  [Hewlett-Packard Development Company, L.P.]
    <QlbCtrl><; %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start>  [N/A]
    <SoundMAX><; C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray>  [Analog Devices, Inc.]
    <SoundMAXPnP><; C:\Program Files\Analog Devices\Core\smax4pnp.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <StartCCC><; C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <SynTPEnh><; C:\Program Files\Synaptics\SynTP\SynTPEnh.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <TkBellExe><; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
==================================
启动文件夹
[腾讯QQ]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\腾讯QQ.lnk --> D:\qq\QQ.exe [TENCENT]><H>
==================================
服务
[Adobe LM Service / Adobe LM Service][Stopped/Manual Start]
  <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[Agere Modem Call Progress Audio / AgereModemAudio][Running/Auto Start]
  <C:\WINDOWS\system32\agrsmsvc.exe><Agere Systems>
[登录会话中介器 / ASBroker][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k Cognizance-->C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll><Cognizance Corporation>
[本地信道 / ASChannel][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k Cognizance-->C:\Program Files\HPQ\IAM\Bin\ASChnl.dll><Cognizance Corporation>
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[Kaspersky Anti-Virus 7.0 / AVP][Running/Auto Start]
  <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r><Kaspersky Lab>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[hpqwmiex / hpqwmiex][Running/Auto Start]
  <C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe><Hewlett-Packard Development Company, L.P.>
[KVSrvXP / KVSrvXP][Stopped/Auto Start]
  <><N/A>
==================================
驱动程序
[188765 / 188765][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\Drivers\188359.sys><N/A>
[Accelerometer / Accelerometer][Running/Manual Start]
  <system32\DRIVERS\Accelerometer.sys><Hewlett-Packard Corporation>
[ADI UAA Function Driver for High Definition Audio Service / ADIHdAudAddService][Running/Manual Start]
  <system32\drivers\ADIHdAud.sys><Analog Devices, Inc.>
[AE Audio Service / AEAudio][Running/Manual Start]
  <system32\drivers\AEAudio.sys><Andrea Electronics Corporation>
[Agere Systems Soft Modem / AgereSoftModem][Running/Manual Start]
  <system32\DRIVERS\AGRSM.sys><Agere Systems>
[AMD Processor Driver / AmdK8][Running/System Start]
  <system32\DRIVERS\AmdK8.sys><Advanced Micro Devices>
[ati2mtag / ati2mtag][Running/Manual Start]
  <system32\DRIVERS\ati2mtag.sys><ATI Technologies Inc.>
[AuthenTec TruePrint USB Driver (AES2500) / ATSWPDRV][Running/Manual Start]
  <system32\DRIVERS\ATSwpDrv.sys><AuthenTec, Inc.>
[Broadcom NetLink Gigabit Ethernet / b57w2k][Running/Manual Start]
  <system32\DRIVERS\b57xp32.sys><Broadcom Corporation>
[Broadcom 802.11 网络适配器驱动程序 / BCM43XX][Stopped/Manual Start]
  <system32\DRIVERS\bcmwl5.sys><Broadcom Corporation>
[eabfiltr / eabfiltr][Running/System Start]
  <system32\DRIVERS\eabfiltr.sys><Hewlett-Packard Development Company, L.P.>
[HBtnKey / HBtnKey][Running/Manual Start]
  <system32\DRIVERS\cpqbttn.sys><Hewlett-Packard Development Company, L.P.>
[Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus][Running/Manual Start]
  <system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[HP Disk Filter Driver / hpdskflt][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\hpdskflt.sys><Hewlett-Packard Corporation>
[KHSysMod / KHSysMod][Running/Boot Start]
  <\SystemRoot\system32\drivers\KHSysMod.sys><N/A>
[kl1 / kl1][Running/Boot Start]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[Kaspersky Anti-Virus NDIS Filter / klim5][Running/Manual Start]
  <system32\DRIVERS\klim5.sys><Kaspersky Lab>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[Synaptics TouchPad Driver / SynTP][Running/Manual Start]
  <system32\DRIVERS\SynTP.sys><Synaptics, Inc.>
[TesSafe / TesSafe][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\TesSafe.sys><TENCENT>
[Conexant Setup API / UIUSys][Stopped/Manual Start]
  <system32\DRIVERS\UIUSYS.SYS><N/A>
==================================
浏览器加载项
[网络反病毒 统计]
  {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll, Kaspersky Lab>
[EditCtrl Class]
  {488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\aliedit.dll, >
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[DHTML Edit Control Safe for Scripting for IE5]
  {2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9d.ocx, Adobe Systems, Inc.>
[&使用快车(FlashGet)下载]
  <F:\必备\必要工具\@网际快车@\jc_link.htm, N/A>
[&使用快车(FlashGet)下载全部链接]
  <F:\必备\必要工具\@网际快车@\jc_all.htm, N/A>
[使用迅雷下载]
  <C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm, N/A>
[使用迅雷下载全部链接]
  <C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ表情]
  <D:\qq\AddEmotion.htm, N/A>
[用维棠下载视频]
  <D:\Downloads\维棠\vd_link.htm, N/A>
==================================
正在运行的进程
[PID: 968 / SYSTEM][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1028 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1060 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\WINDOWS\system32\Ati2evxx.dll]  [ATI Technologies Inc., 6.14.10.4158]
    [C:\WINDOWS\system32\klogon.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll]  [Cognizance Corporation, 1.5.0.063]
    [C:\WINDOWS\system32\MSVCR70.dll]  [Microsoft Corporation, 7.00.9955.0]
    [C:\Program Files\HPQ\IAM\bin\ItMsg.dll]  [Cognizance Corporation, 1.21.0.379]
[PID: 1108 / SYSTEM][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1120 / SYSTEM][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\HPQ\IAM\bin\AsWlnPkg.dll]  [Cognizance Corporation, 1.5.0.063]
    [C:\WINDOWS\system32\MSVCR70.dll]  [Microsoft Corporation, 7.00.9955.0]
    [C:\Program Files\HPQ\IAM\bin\ItMsg.dll]  [Cognizance Corporation, 1.21.0.379]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
[PID: 1280 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\program files\hpq\iam\bin\aswlnpkg.dll]  [Cognizance Corporation, 1.5.0.063]
    [C:\WINDOWS\system32\MSVCR70.dll]  [Microsoft Corporation, 7.00.9955.0]
    [c:\program files\hpq\iam\bin\ItMsg.dll]  [Cognizance Corporation, 1.21.0.379]
    [c:\program files\hpq\iam\bin\aschnl.dll]  [Cognizance Corporation, 1.27.0.158]
    [C:\Program Files\HPQ\IAM\Bin\BioAuthSrv.dll]  [Cognizance Corporation, 2.0.0.077]
    [C:\Program Files\HPQ\IAM\Bin\ITVCClient.dll]  [Cognizance Corporation, 1.5.1.166]
    [C:\Program Files\HPQ\IAM\Bin\ItReports.DLL]  [Cognizance Corporation, 1.5.0.041]
    [C:\Program Files\HPQ\IAM\bin\CHS\ItReports.DLL]  [Cognizance Corporation, 1.5.0.032]
    [C:\Program Files\HPQ\IAM\Bin\ItDAC.dll]  [Cognizance Corporation, 1.00.287]
    [C:\Program Files\HPQ\IAM\Bin\ITVcServer.dll]  [Cognizance Corporation, 1.00.122]
    [C:\Program Files\HPQ\IAM\Bin\ItAuth.dll]  [Cognizance Corporation, 1.01.214]
    [C:\Program Files\HPQ\IAM\Bin\ItVCard.dll]  [Cognizance Corporation, 1.01.164]
    [C:\Program Files\HPQ\IAM\bin\CHS\ItMsg.dll]  [Cognizance Corporation, 1.21.0.379]
    [C:\Program Files\HPQ\IAM\bin\HPBrand.dll]  [Hewlett-Packard Company, 1.02.0.027]
    [C:\Program Files\HPQ\IAM\bin\CHS\HPBrand.dll]  [Hewlett-Packard Company, 1.02.0.027]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\HPQ\IAM\Bin\AuthWiz.dll]  [Cognizance Corporation, 1.5.0.468]
    [C:\Program Files\HPQ\IAM\bin\CHS\AuthWiz.dll]  [Cognizance Corporation, 1.5.0.420]
    [C:\Program Files\HPQ\IAM\Bin\NetAdmin.dll]  [Cognizance Corporation, 1.5.0.166]
    [C:\Program Files\HPQ\IAM\bin\CHS\NetAdmin.dll]  [Cognizance Corporation, 1.5.0.147]
[PID: 1320 / SYSTEM][C:\WINDOWS\system32\Ati2evxx.exe]  [ATI Technologies Inc., 6.14.10.4158]
    [C:\WINDOWS\system32\Ati2edxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2510]
    [C:\WINDOWS\system32\atipdlxx.dll]  [ATI Technologies, Inc., 6, 14, 10, 2515]
[PID: 1340 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1436 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
[PID: 1628 / SYSTEM][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll]  [, 2, 0, 0, 0]
[PID: 780 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.1897.0]
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation, 11.3.1897.0]
[PID: 1572 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1724 / SYSTEM][C:\WINDOWS\system32\agrsmsvc.exe]  [Agere Systems, 1.0.0.4]
[PID: 1840 / SYSTEM][C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll]  [Microsoft Corporation, 7.00.9466]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
[PID: 1992 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 336 / LOCAL SERVICE][C:\WINDOWS\system32\wdfmgr.exe]  [Microsoft Corporation, 5.2.3790.1230 built by: dnsrv(bld4act)]
[PID: 256 / SYSTEM][C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe]  [Hewlett-Packard Development Company, L.P., 2, 0, 1, 9]
[PID: 2036 / LOCAL SERVICE][C:\WINDOWS\System32\SCardSvr.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
[PID: 2468 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 480 / Administrator][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\scrchpg.dll]  [Kaspersky Lab, 7.0.0.125]
[PID: 3024 / Administrator][D:\TDDOWNLOAD\sreng2\SREngPS.EXE]  [Smallfrogs Studio, 2.5.16.900]
    [D:\TDDOWNLOAD\sreng2\Upload\3rdUpd.DLL]  [Smallfrogs Studio, 2, 1, 0, 15]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll]  [Kaspersky Lab, 7.0.0.125]
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll]  [Kaspersky Lab, 7.0.0.125]
==================================
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]
==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1       localhost
==================================
进程特权扫描
N/A
==================================
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
==================================
隐藏进程
N/A
==================================
你是否知道567部队?你也可以参加567部队!

引用 TOP

f567

啊慌

管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

宣传标兵 建设标兵

4# 发表于 2008-1-5 08:53  只看该作者
对以上日志分析的学习

来源资料  http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html


       前言:免责声明:以下总结系私人经验之总结,由此造成的任何后果不负责任。

       系统分析是一项纷繁复杂的工作,需要大胆和心细(例如注意数字 1 和字母l的微小的区别,字母o p q的o与数字0 1 2的0的区别等等),刚开始学习的朋友会感到有很多困难,要多借助搜索引擎(推荐google.com !!!baidu.com就算了。不要跟我争这个)

       要随时关注目前流行病毒的行情(例如看到rundll32.exe 基本上就可以判定是威金等)刚开始的时候可能会有困难,应静下心来好好研究,等你练到一目N行的时候,基本上就略有小成了。经验的积累也十分的重要!

跟大家一起探讨。 (崔衍渠)
【主要链接】
SREng最新版用法  http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html

包括SRENG的软件下载、如果获得日志、如何删除问题项的图解。
【主要链接2】收集不能一眼识别但却是良民的部分正常注册表、服务、驱动项目
【正常启动项】 http://hi.baidu.com/teyqiu/blog/item/cc0f7bf435db43d8f2d38577.html

请收藏如上的网址,因为会不定期的随时更新。
一、SREng          启动项目 注册表 分析方法
对应的注册表位置在log中可以看到
熟悉常见项,主要包括输入法、音频视频应用程序、杀毒软件、安装的应用软件等
每个进程后有公司名属性,可以辅助辨别  
对于不确认的进程 google

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]

以上需要具体分析
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            <load><>          []
            <run><>          []
以上2个位置 如果加载了进程,通常是问题项
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run]
以上2个位置 如果加载了进程,通常是问题项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            <shell><Explorer.exe>          [Microsoft Corporation]
            <Userinit><C:\WINDOWS\system32\userinit.exe,>          [Microsoft Corporation] 逗号不可省略。
如果是NT系统(如win2000),相应路径为 C:\WINNT 不再累述。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
            <AppInit_DLLs><>          []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
            <UIHost><logonui.exe>          [Microsoft Corporation]
以上4个位置如果和默认的有区别,通常是可疑项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExec
uteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTas
kScheduler]
以上3个位置如果有加载项(除了第二个位置加载瑞星防病毒软件),通常是问题项



二、 SREng --- 启动文件夹
对应以下2个位置
Startup: c:\documents and settings\USERNAME\「开始」菜单\程序\启动
(Username为具体的用户名,例如 teyqiu, 王小丫 之类的)
Global Startup: c:\documents and settings\All Users\「开始」菜单\程序\启动


常见问题项:
[IE-Bar]
          <C:\Documents and Settings\All Users\Start Menu\Programs\Startup\IE-Bar.lnk>
<N>


三、SREng服务的分析方法
对应注册表位置如下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

服务后有公司属性,辅助分析,有假冒公司属性的服务需要注意
服务对应的文件位于windows下的要注意
不确认的google
不过有些没公司属性的也没问题 常见的有 要强记!别误删。
[Secdrv / Secdrv]
          <system32\DRIVERS\secdrv.sys><N/A>
[TSP / TSP]
          <\??\C:\WINDOWS\system32\drivers\klif.sys><N/A> 卡巴斯基 有时候会显示N/A

常见的问题项:
灰鸽子
[Performance Moniter / BARCASE]
          <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
[IPSEC Client / WalALET][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\TCGSH.DLL,Export 1087><Microsoft Corporation>
留意本案中的C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE也不是好东西。
[ODBC Administration Service / odbcasvc][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\odbcasvc.EXE><Microsoft Corporation>
强烈鄙夷丫的一U盘病毒还修改IFEO。冒充微软。

[JMediaService / JMediaService]
          <C:\WINNT\system32\rundll32.exe C:\PROGRA~1\MMSASS~1\MMSSVER.DLL,Service><N/A>
[StdService / StdService]
          <C:\WINNT\system32\rundll32.exe C:\WINNT\System32\STDSVER.DLL,Service><N/A>
[VIPTray / VIPTray]
          <C:\WINDOWS\System32\VIPTray.exe><N/A>
[WinWrCup / WinWrCup]
          <C:\WINNT\wincup\wincup.exe -R><MsWinCup>
[WinKld / WinKld]
          <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\winkld\winkld.dll",Run -r><N/A>
[wint / wint]
          <C:\WINDOWS\System32\RunDLL32.exe "C:\PROGRA~1\wint\wint.dll",Run -r><N/A>
[WinkldUP / WinkldUP]
          <C:\DOCUME~1\wq\LOCALS~1\Temp\wz\wz.exe -R><N/A>
[XDownloadService / XDownloadService]
          <C:\WINDOWS\system32\Rundll32.exe "C:\WINDOWS\Downloader.dll",Run><N/A>
[Server Advance / ServerAC]
          <C:\WINDOWS\System32\Security.exe><N/A>
[Windows DHCP Service / WinDHCPsvc]
          <C:\WINDOWS\System32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.ocx

[WinXP DHCP Service / WinXPDHCPsvc]
          <C:\WINDOWS\System32\rundll32.exe xpdhcp.dll,start><Microsoft Corporation>
此处省略路径的为 C:\WINDOWS\System32\windhcp.dll


---驱动的分析与服务类似 注意最近的飘雪等双驱动的案例。

四、 SREng          浏览器加载项 分析方法
对应hijackhtis的02、03、08、09、016项,可以用hijackthis辅助分析
最近出现假冒microsoft和macromedia的项


五、SREng 正在运行的进程 分析方法
注意没有公司名字属性【显示为 N/A 】的exe文件,不确认的 google
没公司属性(或者说显示不出来)但是却是正常文件的也有 例如
           [C:\WINDOWS\system32\msdmo.dll]          [N/A, N/A] 要强记!
注意exe文件调用的dll文件,对于不确认的dll文件 google
有公司属性的也要注意分析是否是冒牌货,如最近的飘雪等动不动就冒充Microsoft Corporation。。。。


六、SREng 文件关联               分析方法
SREng提示的error项,通常需要修复
例外:关联的应用程序是自己安装的

七、SREng Winsock 提供者 分析方法         
用检测到的文件google
修复方法及常见的问题文件参考《hijackthis的010项修复方法》
附:
《hijackthis的010项修复方法》
HijackThis日志细解正文(十四):组别——O10
www.rising.com.cn          2004-8-5 15:09:00          信息源:瑞星社区 作者:风之咏者  


1. 项目说明
            O10项提示Winsock LSP(Layered Service Provider)“浏览器劫持”。某些间谍软件会修改Winsock 2的设置,进行LSP“浏览器劫持”,所有与网络交换的信息都要通过这些间谍软件,从而使得它们可以监控使用者的信息。著名的如New.Net插件或WebHancer组件,它们是安装一些软件时带来的你不想要的东西。相关的中文信息可参考——
http://tech.sina.com.cn/c/2001-11-19/7274.html

2. 举例
O10 - Hijacked Internet access by New.Net
            这是被广告程序New.Net劫持的症状(可以通过“控制面板——添加删除”来卸载)。
O10 - Broken Internet access because of LSP provider `c:\progra~1\common~2\toolbar\cnmib.dll` missing
            这一般出现在已清除间谍软件但没有恢复LSP正常状态的情况下。此时,网络连接可能丢失。
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
            这是被广告程序newtonknows劫持的症状,相关信息可参考http://www.pestpatrol.com/PestInfo/n/newtonknows.asp

3. 一般建议
            一定要注意,由于LSP的特殊性,单单清除间谍软件而不恢复LSP的正常状态很可能会导致无法连通网络!如果您使用杀毒软件清除间谍程序,可能遇到如上面第二个例子的情况,此时可能无法上网。有时HijackThis在O10项报告网络连接破坏,但其实仍旧可以连通,不过无论如何,修复O10项时一定要小心。
            遇到O10项需要修复时,建议使用专门工具修复。
(1)LSPFix http://www.cexx.org/lspfix.htm
(2)Spybot-Search&Destroy(上面提到过,但一定要使用最新版)
            这两个工具都可以修复此问题,请进一步参考相关教程。
4. 疑难解析
            某些正常合法程序(特别是一些杀毒软件)也会在Winsock水平工作。比如
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
            这一项就属于国产杀毒软件KV。所以,在O10项遇到“Unknown file in Winsock LSP”一定要先查询一下,不要一概修复。
点击本图片会另有发现
photoshop
为方便大家的学习,如下转载一部分资料,注意更新。

一、bark 的 解读SREng扫描报告(原创)
原文链接:http://hi.baidu.com/rmp3/blog/item/b72c5d4e73938909b2de0520.html
第一次发表于 2006-11-24

摘要:本文介绍了如何利用相应的工具进行手动查杀病毒的操作方法,通俗易懂。




SREng扫描报告的个人见解 by bark[流氓怕武术]
第一部分:
启动项目:这部分是系统注册表里系统正常启动时的加载项,xp 系统点开始-运行-msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙,杀毒软件,等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
……
==================================
第二部分:
启动文件夹:就是开始菜单里的启动下面的 东东,一般病毒和木马不会幼稚到这个地步,这里一般是空的。这些东东在安全模式不会被启动。
N/A
==================================
第三部分:
服务:就是我们在“管理-服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑,他们的描述有很大迷惑性,比如“为系统启动提供加速功能”就是最流行的流氓服务,弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征:
1·被rundll32.exe、Svchost.exe等系统进程调用;
2·【】内的前后两项内容相同;
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ,我们都要怀疑。
例:
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>
==================================
第4部分:
驱动程序:目前最流行的流氓行为!这些东东在安全模式也会被启动加载,并自我保护不被删除。
病毒驱动的特征:
1·名字随机所以怪异,尤其是包含数字的要注意
2·一般在\SystemRoot\system32\drivers\目录下
3·【】内的前后两项内容相同;
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>,其他的一般不是(也有例外)
例:
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>
[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>
[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>
[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>
[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>
==================================
第5部分:
浏览器加载项:这里是加载的插件,有背景的大流氓软件热爱。但打开IE浏览器后可以直观看到,小流氓和木马病毒不敢也不愿这么明显。
例:
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>
==================================
第6部分:
正在运行的进程
这里是很关键的部分,也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。
我们要特别注意以下进程调用的dll文件:
C:\WINDOWS\Explorer.EXE
如果一个dll文件注入上面的进程,同时又注入其他进程,就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。
睡眠状态;有不足之处;待改正。
点击本图片会另有发现
photoshop


二、[原创] 手工查杀病毒经验谈-by蓝色寒冰+
原帖链接:http://hi.baidu.com/readon99/blog/item/326d7931d3773d19ebc4afb6.html
摘要:
第一部分:工具篇(随兵出征)  第二部分:查毒篇(请君入瓮)
第三部分:杀毒篇(初战告捷)  第四部分:修复篇(打完收工)
三、【原创】手工检测病毒 by UFO不幸外人 卡卡社区 【注意更新】
原帖链接 http://forum.ikaka.com/topic.asp?board=28&artid=8267493
摘要:作者自己说“文章我认为可能会有问题,希望高手多多指教,我会在春节前把文章更新好,并且会发布完整版。届时将有我整理的一些进程、服务等等,需要经验来说明的东西,目的都是为了新手和想学习的人,希望这些经验可以帮助大家,可以在论坛里面和我交流也可以发邮件。总之谢谢大家。”

++2007-4-6 将更新版本号改为 1.1 。添加重要相关链接3个。
---------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。
你是否知道567部队?你也可以参加567部队!

引用 TOP

f567

啊慌

管理员

Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9Rank: 9

宣传标兵 建设标兵

5# 发表于 2008-1-5 09:25  只看该作者
李牧原 的分析经验(人教论坛),提供参考!!!



启动项目:注册表、启动文件夹 分析方法:


  我们首先来看日志的开头部分(以kuing的日志为例,本人应该不会介意吧……):


QUOTE:
[CODE]
2007-07-07,22:56:31
System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件
    进程特权扫描


  这些信息说明了SREng的版本、操作系统版本、扫描用户权限、扫描时间和扫描项目。不用去管它。
  
  现在我们来看这部分:


QUOTE:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load> <>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <igfxtray><C:\WINDOWS\system32\igfxtray.exe>  [(Verified)Microsoft Windows Publisher]
    <igfxhkcmd><C:\WINDOWS\system32\hkcmd.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <igfxpers><C:\WINDOWS\system32\igfxpers.exe>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
    <runeip><"C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <KKDelay><C:\Program Files\Rising\AntiSpyware\RunOnce.exe> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
    <{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    <WinlogonNotify: igfxcui><igfxdev.dll>  [(Verified)Microsoft Windows Hardware Compatibility Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
    <WinlogonNotify: WgaLogon><WgaLogon.dll>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED}]
    <Themes Setup><%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be}]
    <Windows Messenger 4.7><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp11.inf,PerUserStub>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]

==================================
启动文件夹
N/A


  这段日志里可以看出,你电脑开机的时候都会运行哪些程序。
  粉色字样的是是注册表项。也就是这个程序在注册表中的位置。如果是病毒,可以通过开始——运行输入regedit,查找该键值来取消病毒的自动启动。
  注册表项下一行,“< >”里面的,前面的是这个注册表项的,后面的是这个键的键值。再后面,是程序的公司版本信息。如果通过了数字签名验证,在Microsoft的前面会有(Verified) 的字样。
  PS:颜色是我自己加上的。颜色只弄了一部分,其他的类推,不用我全弄上了吧……


  分析方法:对于新手来说,最重要的就是熟悉进程和进程模块。当大家遇到自己不熟悉的进程和进程模块,(*.exe、*.dll),可以上www.google.cn去搜索一下,时间长了,积累些经验,下次再看到这些进程的时候,心里就有点底啦!注册表里面的启动项一般都有输入法、杀毒软件、声卡显卡的优化软件(如ATi催化剂、音效管理员)等。不过还要注意后面的公司版本信息。如果一个你比较熟悉的进程,后面的公司信息是[N/A],这个很有可能就是病毒!!

%systemroot%是系统安装目录,如果是Win98或者XP之类的,对应目录一般为C:\WINDOWS\;如果为WinNT或者2000,对应目录一般为C:\WINNT
============================================================  
一般的启动程序都是在下面这些项里面了,要好好分析哦~~对于不确定的进程,到www.google.cn里面查。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
============================================================
下面这四项要注意,如果日志里面的和这四个不一样,那么很可能就有问题
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher](注意那个逗号!这个逗号不可省略)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
           <AppInit_DLLs><>         [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
           <UIHost><logonui.exe>         [Microsoft Corporation]
============================================================
如果有下面的这两项,“<>”里面有进程,很可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
           <load><>         [N/A]
           <run><>         [N/A]
============================================================
下面这两项下面如果有键,也可能有问题
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
============================================================
下面的三项如果有除了杀毒软件之外的键,很可能有问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
============================================================
可信项目(即有N/A,但可以确定没问题的项目):
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load> <>  [N/A]
    <run> <>   [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]

如果“<>”里面没有东西,以上几项可以排除

%systemroot%\system32\shmgrate.exe
这个进程,虽然有些网站上说是病毒,但是貌似只有新版的SREng才能扫出来这个,本人目前可以确定这个进程没问题
%ProgramFiles%\Outlook Express\setup50.exe
这个进程也可以确定没问题
要注意路径!!
<KernelFaultCheck><; %systemroot%\system32\dumprep 0 -k>  [N/A]
这一项也可以排除
============================================================
还有的病毒,公司名称会假冒微软的数字签名,不过在启动项目——注册表里面,如果通过数字签名,在公司名称的前面会有个(Verified)

启动文件夹,就是你点“开始”——“程序”——“启动”那里面的文件,一般不会有什么问题(因为大部分病毒没那么弱智……放在这里,一般的菜鸟都能看出来……),但也不能掉以轻心!!

举几个病毒的例子:

<MsServer><msfir80.exe>  [N/A]
很明显的,有 [N/A],一下就注意到这个了。

<x0w3srs6w><C:\DOCUME~1\李牧原\LOCALS~1\Temp\rundl132.exe> [N/A]
这个有点难度,注意[N/A]、奇怪的键名<x0w3srs6w>和那个红色的1,正常的应该是两个字母l(rundll32.exe)。

<4sqlllc7mh3><C:\DOCUME~1\李牧原\LOCALS~1\Temp\servicer.exe> []
这个和上面的那个是一个类型的,这个程序的名称一般人都能看出来有问题……还没有公司信息,键名也很奇怪。

上面的三个都是在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下面的

这两个有点特殊:
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><e:\program files\rising\rfw\zpkjuwgv.dll> []
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><> [N/A]

这两个是在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下面的,所以是病毒,删掉。

还有个特殊的:SYSEXPLR.EXE这个程序,如果在超级解霸的目录下(比如HeroV8),那么就可以排除……如果在别的地方,可能就是冰河木马

这一项就介绍到这里啦~~

服务、驱动程序 分析方法:

这里的服务和驱动,显示的是非Windows自带的第三方服务驱动。
粉红色的是服务或驱动的名称,红色的是状态,蓝色的是启动方式,橙色的为文件的路径紫色的为公司名称信息

[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
这个服务,如果在进程里面没有特殊项的时候,是可信的,不用管它。
如果发现有其他的公司名称为N/A的或者假冒微软的服务和驱动,还有的服务驱动名称很奇怪,这样用Google和百度都搜索一下,搜索不到就有问题了。
再引用下kuing的日志……

QUOTE:
服务
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Rising Proxy  Service / RfwProxySrv][Stopped/Manual Start]
  <c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService][Running/Auto Start]
  <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[Rising RealTime Monitor / RsRavMon][Running/Auto Start]
  <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
==================================
驱动程序
[2310_00 / 2310_00][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\2310_00.sys><HighPoint Technologies, Inc.>
[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\3WAREDRV.SYS><N/A>
[A320RAID / A320RAID][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\a320raid.sys><Adaptec, Inc.>
[AAC / AAC][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aac.sys><Adaptec, Inc.>
[AACSAS / AACSAS][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\aacsas.sys><Adaptec, Inc.>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[AmdK8 Compatible Device / AmdK8][Stopped/System Start]
  <System32\BIRD\amdk8.sys><Advanced Micro Devices>
[ARCM_X86 / ARCM_X86][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\arcm_x86.sys><ARECA  Technology Corporation>
[Rising TDI Base Driver / BaseTDI][Running/Auto Start]
  <System32\DRIVERS\BaseTDI.SYS><Beijing Rising Technology Co., Ltd.>
[BCHTSW32 / BCHTSW32][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\bchtsw32.sys><Broadcom Corporation>
[dpti2o / dpti2o][Running/Boot Start]
  <\SystemRoot\System32\BIRD\dpti2o.sys><Microsoft Corporation>
[ExpScaner / ExpScaner][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\ExpScan.sys><>
[FASTSX / FASTSX][Running/Boot Start]
  <\SystemRoot\System32\BIRD\fastsx.sys><Promise Technology, Inc.>
[FASTTRAK / FASTTRAK][Running/Boot Start]
  <\??\C:\WINDOWS\system32\drivers\hjg47ql8p.sys><N/A>
[HookCont / HookCont][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\HOOKCONT.sys><Rising>
[HookReg / HookReg][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\HookReg.sys><>
[HookSys / HookSys][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\HookSys.sys><Rising>
[HookUrl / HookUrl][Running/Auto Start]
  <\??\C:\Program Files\Rising\Rfw\HookUrl.sys><Beijing Rising Technology Co., Ltd.>
[HPT3XX / HPT3XX][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\hpt3xx.sys><HighPoint Technologies, Inc.>
[ialm / ialm][Running/Manual Start]
  <system32\DRIVERS\ialmnt5.sys><Intel Corporation>
[IASTOR / IASTOR][Running/Boot Start]
  <\SystemRoot\System32\BIRD\iaStor.sys><Intel Corporation>
  <\SystemRoot\System32\BIRD\m5289.sys><ULi Electronics Inc.>
[MEGAIDE / MEGAIDE][Running/Boot Start]
  <\SystemRoot\System32\BIRD\MegaIDE.sys><LSI Logic Corporation.>
[MEMSCAN / MEMSCAN][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\MEMSCAN.sys><瑞星软件有限公司>
[mProcRs / mProcRs][Running/Auto Start]
  <\??\c:\program files\rising\rfw\mProcRs.sys><Beijing Rising Technology Co., Ltd.>
[mraid35x / mraid35x][Running/Boot Start]
  <\SystemRoot\System32\BIRD\mraid35x.sys><LSI Logic Corporation>
[NFRD960 / NFRD960][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\nfrd960.sys><IBM Corporation>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
  <system32\drivers\npf.sys><Politecnico di Torino>
[npkcrypt / npkcrypt][Running/Auto Start]
  <\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv][Stopped/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[NVATABUS / NVATABUS][Running/Boot Start]
  <\SystemRoot\System32\BIRD\NVATABUS.SYS><NVIDIA Corporation>
[PNP680R / PNP680R][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\pnp680r.sys><Silicon Image, Inc>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[ql1080 / ql1080][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ql1080.sys><QLogic Corporation>
[ql12160 / ql12160][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ql12160.sys><QLogic Corporation>
[ql1280 / ql1280][Running/Boot Start]
  <\SystemRoot\System32\BIRD\ql1280.sys><QLogic Corporation>
[RAIDSRC / RAIDSRC][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\raidsrc.sys><Intel/ICP>
[RR232X / RR232X][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\rr232x.sys><HighPoint Technologies, Inc.>
[RsAntiSpyware / RsAntiSpyware][Running/Boot Start]
  <\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising Technology Co., Ltd.>
[RsFwDrv / RsFwDrv][Running/Auto Start]
  <\??\C:\Program Files\Rising\Rfw\RsFwDrv.sys><Beijing Rising Technology Co., Ltd.>
[RsNTGDI / RsNTGDI][Running/Boot Start]
  <\SystemRoot\system32\Drivers\RsNTGdi.sys><Beijing Rising Technology Co., Ltd.>
[RSPPSYS / RSPPSYS][Running/Auto Start]
  <\??\C:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><Rising>
[Realtek RTL8139/810x/8169/8110 all in one NDIS XP Driver / RTL8023xp][Running/Manual Start]
  <system32\DRIVERS\Rtlnicxp.sys><Realtek Semiconductor Corporation>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[S150SX8 / S150SX8][Running/Boot Start]
  <\SystemRoot\System32\BIRD\S150sx8.sys><Promise Technology, Inc.>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>
[SI3112 / SI3112][Stopped/Boot Start]
  <\SystemRoot\System32\BIRD\SI3112.sys><Silicon Image, Inc.>
[sym_u3 / sym_u3][Running/Boot Start]
  <\SystemRoot\System32\BIRD\sym_u3.sys><LSI Logic>
[TwoTrack Compatible Device / TwoTrack][Stopped/Manual Start]
  <System32\DRIVERS\TwoTrack.sys><IBM Corporation>
==================================


我把BIRD的驱动省略掉了好多,否则篇幅会是现在的n倍……
如果驱动程序的路径是\SystemRoot\System32\BIRD\,完全可以无视掉……

[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>

[klif / klif][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
这两个驱动程序都是可信的,虽然第二个有时候可能显示为有<N/A>,但大家也不用去管它,注意路径就可以了。
有时候会出现双驱动的情况,要格外注意!双驱动就是在一个路径下,同时出现两个文件名,文件名之间用空格隔开。这样的一定要看准啦!!


浏览器加载项 分析方法:

Hijackthis的作用在这里就显示出来啦!对应hijackhtis的02、03、08、09、016项,可以用 Hijackthis辅助分析,注意假冒假冒microsoft和macromedia的项

Hijackthis的使用及分析方法可以看Full-Moon版主的置顶帖:lol 。

不过要讲的是SREng日志的分析方法,这一项也不能略过……

这次引用下竹风铃的日志……

QUOTE:
浏览器加载项
[Thunder Browser Helper]
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
[AcroIEHlprObj Class]
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[启动迅雷5]
  {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <D:\迅雷\Thunder.exe, Thunder Networking Technologies,LTD>
[豪杰超级解霸V8]
  {367E0A21-8601-4986-9C9A-153BF5ACA118} <D:\豪杰超级解霸V8\STHSDVD.EXE, N/A>
[信息检索(&R)]
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
  {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation>
[Tencent Safety Online Base Module]
  {C09B522F-8AED-4E21-A65C-DC1AB652BAEE} <C:\WINDOWS\DOWNLO~1\TSOBase.ocx, Tencent Corporation>
[ScienceWord Control 5.0]
  {C29E7AB7-8C79-421A-AB75-0AE00E848C2D} <C:\WINDOWS\system32\SCIENC~1.OCX, Novoasoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[CPasswordEditCtrl Object]
  {E787FD25-8D7C-4693-AE67-9406BC6E22DF} <C:\WINDOWS\system32\qqedit\qqedit.dll, 腾讯科技(深圳)有限公司>
[Thunder Browser Helper]
  {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
[AcroIEHlprObj Class]
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[HTML Document]
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[Windows Media Player]
  {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\迅雷\ComDlls\XunLeiBHO_007.dll, Thunder Networking Technologies,LTD>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[AUDIO__MP3 Moniker Class]
  {CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
  {CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[&使用迅雷下载]
  <D:\迅雷\Program\geturl.htm, N/A>
[&使用迅雷下载全部链接]
  <D:\迅雷\Program\getallurl.htm, N/A>
[上传到QQ网络硬盘]
  <E:\Q\AddToNetDisk.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
[添加到QQ自定义面板]
  <E:\Q\AddPanel.htm, N/A>
[添加到QQ表情]
  <E:\Q\AddEmotion.htm, N/A>
[用QQ彩信发送该图片]
  <E:\Q\SendMMS.htm, N/A>
[豪杰超级解霸V8实时播放]
  <D:\豪杰超级解霸V8\MPURLGET.HTM, N/A>

==================================


粉色的是浏览器加载项名(也就是常说的BHO),蓝色部分是CLSID(有的BHO没有CLSID),一般每一种BHO都有唯一的CLSID,否则可能会有冲突,不用去分析。橙色部分是文件路径,紫色部分为公司名称

分析的时候还是要注意公司名称,对公司名为N/A的,Google搜索一下。
下列几个为排除项目:
[HTML Document]
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[SearchAssistantOC]
  {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
还有最下面那几项QQ和迅雷的,如果文件路径没有问题,也可以排除。


正在运行的进程 分析方法:

这一项可以说是整个日志的主体部分,一般来说也是最长的一部分!(有时驱动可能会更长)虽然分析这一项时需要注意的事项并不多,但是一定要细心,还要有耐心!不要错过任何一个可能是病毒的项目!

这次用谁的日志好呢……这次就用我自己的好了……o(∩_∩)o...哈哈

QUOTE:
正在运行的进程
[PID: 712][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 776][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 292][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 320][e:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70]
[e:\program files\rising\rfw\RsGuiLib.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 33]
[e:\program files\rising\rfw\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5]
[e:\program files\rising\rfw\RfwCtrl.dll] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 11]
[e:\program files\rising\rfw\RsXML.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2]
[e:\program files\rising\rfw\PngDll.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[C:\DOCUME~1\李牧原\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[PID: 1164][C:\Program Files\ATI Technologies\ATI.ACE\cli.exe] [ATI Technologies Inc., 1.11.0.0]
[C:\WINDOWS\system32\mscoree.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorwks.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\microsoft.net\framework\v1.1.4322\mscorlib.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_422c3599\mscorlib.dll] [N/A, ]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\mscorsn.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSCORJIT.DLL] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_14cb2b7b\system.windows.forms.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.implementation.dll] [ATI Technologies Inc., 1.2.2114.465]
[c:\program files\ati technologies\ati.ace\log.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\cli.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\log.foundation.service.dll] [ATI Technologies Inc., 1.2.2114.464]
[c:\program files\ati technologies\ati.ace\log.foundation.shared.dll] [ATI Technologies Inc., 1.2.2026.29970]
[c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_96df10ff\system.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.foundation.xmanifestation.dll] [ATI Technologies Inc., 1.2.2114.464]
[c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_b39e651e\system.xml.dll] [N/A, ]
[c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll] [Microsoft Corporation, 1.1.4322.573]
[C:\WINDOWS\system32\ldmedia4.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.component.runtime.dll] [ATI Technologies Inc., 1.2.2114.465]
[c:\program files\ati technologies\ati.ace\aem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_d3d144b1\system.drawing.dll] [N/A, ]
[C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll] [N/A, ]
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.runtime.dll] [ATI Technologies Inc., 1.2.2114.456]
[c:\program files\ati technologies\ati.ace\cli.component.runtime.shared.dll] [ATI Technologies Inc., 1.2.2026.29946]
[c:\program files\ati technologies\ati.ace\cli.caste.graphics.shared.dll] [ATI Technologies Inc., 1.2.2028.21076]
[c:\program files\ati technologies\ati.ace\dem.foundation.dll] [ATI Technologies Inc., 1.2.2026.29944]
[c:\program files\ati technologies\ati.ace\dem.graphics.displaysmanager.shared.dll] [ATI Technologies Inc., 1.2.2026.29945]
[c:\program files\ati technologies\ati.ace\dem.graphics.demosinfo.dll] [ATI Technologies Inc., 1.2.2026.29947]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\perfcounter.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\program files\ati technologies\ati.ace\dem.graphics.demosadapterinfo.dll] [ATI Technologies Inc., 1.2.2026.29960]
[c:\program files\ati technologies\ati.ace\dem.graphics.dematiadapterinfo.dll] [ATI Technologies Inc., 1.2.2095.19505]
[c:\program files\ati technologies\ati.ace\dem.graphics.demdriversettings.dll] [ATI Technologies Inc., 1.2.2026.29947]
[C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll] [Microsoft Corporation, 1.1.4322.573]
[c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll] [Microsoft Corporation, 1.1.4322.573]
[PID: 1152][D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe] [Cyberlink Corp., 6.00.1027]
[D:\Program Files\CyberLink\PowerDVD\CLRCEngine2.dll] [CyberLink Corp., 3.2.2021 ]
[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[C:\Syswm1j\Ghook.dll] [N/A, ]
[PID: 1532][C:\Program Files\Rising\AntiSpyware\runiep.exe] [Beijing