我是网管论坛 » 【 360病毒木马专区 】 » 请教怎样看懂sreng的报告

dp688 发表于 2008-3-25 22:22

请教怎样看懂sreng的报告

请教版主怎样看懂sreng的报告，谢谢，哪些是病毒，哪些是正常的，学习中:mc%frl^

Rf~.vd9p+D&C [[i] 本帖最后由 红桃jacker 于 2008-3-27 11:23 编辑 [/i]]

红桃jacker 发表于 2008-3-25 22:37

确实不是一天2天的功夫:
t
Hj+R p 首先要大概掌握常见启动项里面的文件 主要对应hijackthis的04选项,也就是开机启动项
I$nhG,O3dp1RC^
sf
sR!Hw&{ 其次大致掌握常见的服务项目:一般正常的服务有公司名称
5@B(s'o.p+MoH 8VX0@g5tQ^@
第三:掌握大致的驱动程序,也是看到有公司名称的可以暂时不管,主要看n/a的项目s3|/e9z8BNf
V[ a4{5^8f_?
第四:看浏览器+载情况,sLlp9|6j(V{7la
'f i7Fh%FD"V%I
第五:看正在运行进程有没有N/A的东西插入7L;K'~%o if
1?7Jj:U(a0P
第六:看关联,是否有 Error  ////错误的情况
'XcwkXl"Rc
+~4D4l,e R(U$E 第七:看是否有autorun /隐藏进程
7FOMs \1Md
gJ:Ny(?#V&P1e0M}E
-F4D'o~"o.`]s 最关键一点:要多看,多参考别人的意见(遇到拿不准的不清楚的摆渡一下),开始可能看不出来啥问题的,可以学习其他网友分析sreng报告的经验,据说有sreng分析助手,可惜俺没有用过.俺花了大约半年的时间才学会hijackthis的报告,看sreng的报告花了1个月的时间.

红桃jacker 发表于 2008-3-25 22:50

下面的报告是俺运行一个鸽子后扫描的部分内容:hT
h$G.a R+Lo I
[CODE]]1arH
r-z
HV4R-uw:i
2007-06-27,22:15:36
a_E{&`\0x} #?+sf$qkLe,u
System Repair Engineer 2.3.13.690
@E:Utt2a:Sw-b Smallfrogs ([url=http://www.KZTechs.com]http://www.KZTechs.com[/url])
D L(asGM|1U "Y*] Z0HMy} c c"N]L
Windows XP Professional Service Pack 2 (Build 2600)
R/sl R!{:ot - 管理权限用户 - 完整功能
,n$o.JRj
d ec9`U!K~!u9T"Q 以下内容被选中：]-u(L3JWa#A}(a
    所有的启动项目（包括注册表、启动文件夹、服务等）
R K]$P%Xg     浏览器加载项A-vf d(p
    正在运行的进程（包括进程模块信息）

h_'D6};q3_     文件关联f2@H@eU|{ zL
    Winsock 提供者(ltQJQ yg
    Autorun.infV l.AW'~K/}+I
    HOSTS 文件)s,cPATv'kl)[

M!~sc L*]0i4G!Z vke:B&O0Ybu
启动项目
w#\"D uK.g"F 注册表
,B%kz)rwJ-a [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]w:f9X DqR3t%\
    <ctfmon.exe><D:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
OR vJ\n7R1\ [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]s6S+m nS-sL
    <kav><"D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">  [Kaspersky Lab]-~,H.o0}D)E`A
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]3SXtMC7d(jz
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]fM@Pf;MZn
    <Userinit><D:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Corporation]&JQa#j;d7w \3U
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation] p(vHMM9l N ?
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
Nt)["zq#U'i     <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><D:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>  [N/A]
%Jxj&bz(_:pR'u*B     <{5D06580A-08EB-4DD0-8425-DDBB5198B30C}><D:\Program Files\Common Files\Microsoft Shared\MSInfo\IEINFO5.sys>  [N/A]T+l'O6Rhw
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]!Cm5KAk
    <WinlogonNotify: klogon><D:\WINDOWS\system32\klogon.dll>  [Kaspersky Lab]!j?q4}|'{m

0|&~:v)?K3D5J^ ==================================4s|S\q/~;i8?k8i0A
启动文件夹 ``K,L9AQT4x7Y
N/A?e%lw0kb] {-^3f

W ?SBumq4i ==================================-B-m7}&Hb!U
服务,A AEz V,m+t
[卡巴斯基反病毒6.0 / AVP][Stopped/Auto Start]1u&i$wl:C0fbl.Q!\ ?
  <"D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
1b+^%KWm`+MPF [Creative Service for CDROM Access / Creative Service for CDROM Access][Running/Auto Start]sZ9\b#VVVT.R
  <D:\WINDOWS\system32\CTSvcCDA.exe><Creative Technology Ltd>HO7u(BJuZ
[Human Interface Device Access / HidServ][Stopped/Disabled]
H f(TSsG@0j3[2D   <D:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
*h:@6Su*Pnf [Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
0j4C3G0i
qoIV b   <"D:\Program Files\WinPcap\rpcapd.exe" -d -f "D:\Program Files\WinPcap\rpcapd.ini"><N/A>
S
@"U ?$T;h [Windows XP Vista         / Windows XP Vista        ][Stopped/Auto Start]"Rr&h+\|L#|Z I
  <D:\WINDOWS\com.cn.ini><N/A>/////注意:系统是winxp/sp2,出现一个服务:Windows XP Vista后缀也是<N/A> 俺直接用这个路径清理了鸽子,(关闭服务,删除文件)7E(Y_$HPX,e v%N
Q9[
H5a6A
该鸽子可以过咔吧,服务显示咔吧正常,也不报警
Mx:I-q0P"f
9n+~*P-PNW W)Z%u@G2G\
i t[pGq{7b
{(@| nO1D/c
下面是一个网友的部分sreng报告,选其中的正在运行进程:
y"O {hHszW-D~t D,e0k;rp-}
[PID: 2560][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.359\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
:{ oD UGG     [C:\WINDOWS\system32\hreax.dll]  [N/A, N/A] 不清楚摆渡一下就明白了k KTa\vWX
    [C:\WINDOWS\system32\wtrmm.dll]  [N/A, N/A]  同上
r8O
[Q"x     [C:\WINDOWS\system32\wgptl.dll]  [N/A, N/A]  同上:Vwx2}|;S%[(s
    [C:\WINDOWS\system32\fksdy.dll]  [N/A, N/A] 同上
q(\*c4uA!y O B     [C:\WINDOWS\system32\imon.dll]  [Eset , 2, 70, 27 ]
P!x?mAB)x     [C:\Program Files\Eset\pr_imon.dll]  [N/A, N/A]///Eset nod32杀软
0Vk~4Xlw     [C:\WINDOWS\System32\Winhttps.dll]  [N/A, N/A]  不清楚摆渡一下就明白了
(VP4Pyw&K3k 运行的sreng被插入这些可疑的东西,如果不清楚,摆渡一下,或者看看这些文件的属性,生辰八字就明白了.AdI#B/I@

C'R4@o9T9d(k_6{ [[i] 本帖最后由 红桃jacker 于 2008-3-25 22:54 编辑 [/i]]

dp688 发表于 2008-3-25 22:57

谢谢版主的指教，我会一直关注学习的。

思亭 发表于 2008-3-25 23:12

斑竹辛苦哈，我路过也学习下。

zhuwy1 发表于 2008-3-26 07:53

没用过,不过看起来很强大哈,360安全卫士的日志,大致能看个明白.正如版主说的,不懂,摆渡去

lovercj17 发表于 2008-3-27 00:48

学习了,谢谢LZ和版主

hdp 发表于 2008-3-27 14:02

版主是不是把我的sreng报告贴上了，N CCg!o;d
我看怎么那么你像我的。

dp688 发表于 2008-3-27 18:39

谢谢版主的关注，学习中，因为我的电脑不知道中了什么病毒，很多应用软件都打不开，要重装就可以重新启动又一样，格式化都一样，

红桃jacker 发表于 2008-3-27 18:43

[quote]原帖由 [i]dp688[/i] 于 2008-3-27 18:39 发表 [url=http://bbs.54master.com/redirect.php?goto=findpost&pid=2684690&ptid=238899][img]http://bbs.54master.com/images/common/back.gif[/img][/url]8^^*w"A C0m7ek
谢谢版主的关注，学习中，因为我的电脑不知道中了什么病毒，很多应用软件都打不开，要重装就可以重新启动又一样，格式化都一样， [/quote]0{`A"a+w'RMQ
可能重新安装系统的时候楼主点开了其他盘符,使用了其他盘符的某些软件的安装文件,,,这些都可能中招.

longsilang 发表于 2008-3-28 19:44

:Q :Q :Q :Q :Q :Q

wtuvtk 发表于 2008-3-29 12:36

[url]http://bbs.54master.com/240260,1,1[/url]刚刚发布的SRENG分析法.大家去看一下看有没有帮助

dp688 发表于 2008-3-31 12:42

谢谢大家的支持与帮助，学习中！！！

dgy318 发表于 2008-3-31 19:00

谢版主的指教，我会一直关注学习的。

DD0S 发表于 2008-4-15 23:56

DDOS

谢谢 红桃jacker  :kiss: :kiss:  多学习。

l.v 发表于 2008-4-16 06:33

`````````````````````
Q C Y
['F.Qx :time: :time:

l.v 发表于 2008-4-16 06:33

``````````````

l.v 发表于 2008-4-16 06:34

```````````````````````````````````

dp688 发表于 2008-5-8 12:01

谢谢版主的关心，我的电脑问题已解决。多谢！！！

qiuwenhuifx 发表于 2008-5-9 14:09

sreng分析助手解释的很清楚，你可以试用一下。

查看完整版本: 请教怎样看懂sreng的报告