SREng扫描报告分析
第一部分:
启动项目:这部分是系统注册表里系统正常启动时的加载项,xp 系统点开始-运行-msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙,杀毒软件,等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows]
……
==================================
第二部分:
启动文件夹:就是开始菜单里的启动下面的 东东,一般病毒和木马不会幼稚到这个地步,这里一般是空的。这些东东在安全模式不会被启动。
N/A
==================================
第三部分:
服务:就是我们在“管理-服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑,他们的描述有很大迷惑性,比如“为系统启动提供加速功能”就是最流行的流氓服务,以7255为典型代表。弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征:
1·被rundll32.exe、Svchost.exe等系统进程调用;
2·【】内的前后两项内容相同;
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ,我们都要怀疑。
例:
[RestoreService / RestoreService]
<C:/WINDOWS/system32/Svchost.exe -k RestoreService-->C:/WINDOWS/system32/drivers/service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:/WINDOWS/system32/rundll32.exe C:/WINDOWS/system32/stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/vision/VISVER.DLL,Service><Microsoft Corporation>
==================================
第4部分:
驱动程序:目前最流行的流氓行为!allxun/piaoxue等为代表的流氓就加载到这里。这些东东在安全模式也会被启动加载,并自我保护不被删除。
此类病毒文件用unlocker的删除效果比较好。unlocker删除无效时再尝试费尔强制删除工具。
病毒驱动的特征:
1·除一些知名的流氓软件的驱动外,病毒文件名字都随机产生,所以怪异没有任何含义,尤其是包含数字的要注意。
2·第一行的第二个[]内表示运行状态和启动类型,病毒驱动一般为: [Running/Boot Start]
3·第一行的第一个[]内的“/”前后两项内容相同并且和文件名一样,且全部为小写;
4·所属公司为<>或<N/A>或假冒<Microsoft Corporation>,其他的一般不是病毒(也有例外)
例:
[000057b3 / 000057b3] [Running/Boot Start]
</SystemRoot/system32/drivers/000057b3.SYS><N/A>
[cdnprot / cdnprot] [Running/Boot Start]
</SystemRoot/system32/drivers/cdnprot.sys><N/A>
[vydozqfz / vydozqfz] [Running/Boot Start]
</SystemRoot/system32/drivers/vydozqfz.sys><>
病毒驱动的新特征:和原来的8位随机字符、6位随机字符加2位数字、5位随机字符等特征不同,是随机字符中间加“_”,很好辨认,注意把握三个特征:启动项目名字和病毒文件同名;启动类型为Boot?Start;所属公司为<N/A>。例:
[hxst_t?/?hxst_t][Stopped/Boot?Start]
</SystemRoot/system32/drivers/hxst_t.sys><N/A>
[efoq_m?/?efoq_m][Stopped/Boot?Start]
</SystemRoot/system32/drivers/efoq_m.sys><N/A>
==================================
第5部分:
浏览器加载项: (2007年这里开始潜伏各种流氓加载项,大家注意。这里加载的插件一般都是可有可无的,删除后不会影响ie 浏览的正常功能,所以大可以把怀疑的项目大刀阔斧滴咔嚓掉。)
例:
以下是典型的病毒加载:
[BHOHelper Class]
{67A90DD6-128D-43AB-B97C-565D2DD42A28} <C:/Program Files/real/atloader.dll, Microsoft Corporation>
[ADXAutoLive]
{E5212437-921F-44a3-8865-11C0B9BA4AF2} <C:/Program Files/real/autolive.dll, Microsoft Corporation>
==================================
第6部分:
正在运行的进程
这里是很关键的部分,也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。3448的新变种只能在这里才可以看到明显的加载。我们扫描前要尽量关闭其他的一些正在运行的软件,免得这部分内容太长,看着麻烦。我们要特别注意以下进程调用的dll文件:
C:/WINDOWS/Explorer.EXE
如果一个dll文件注入这个进程,同时又注入其他进程,就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。
另外建议:对于求助报告的回复,要以楼主的申诉症状为主。其他的问题发现了,可以单独提出,不要和主项混在一起。比如对于淘宝,google,百度,雅虎,银行,QQ,阿里巴巴等的插件,可能是求助者使用的,不要一概而论,可以做出提示,由楼主选择。
sreng扫描报告的缺陷:
1、没有扫描到注册表中的首页设置,所以对于在ie快捷方式里添加网址的流氓行为,无法判定是首页被修改还是快捷方式的问题。这个问题菜鸟一般都表述不清,根据报告也无法判断。
2、没有扫描到计划任务。现在还没有出现加载到计划任务的流氓软件,但加载到计划任务的病毒早就有了——“布朗特克 Worm.Brontok病毒”。
补充:
关于sreng日志中的vax347b.sys和vax347s.sys
SRENG2.5版日志中可见:
[vax347b / vax347b][Running/Boot Start]
</SystemRoot/system32/DRIVERS/vax347b.sys><>
[vax347s / vax347s][Running/Boot Start]
</SystemRoot/System32/Drivers/vax347s.sys><>
经查,vax347b.sys和vax347s.sys这两个文件是虚拟光驱软件Alcohol 120%的驱动程序。
i都是加载在c:/windows/system32/drivers下
ii百度搜索不到
iii没有通过微软签名认证
iv小写
具体案例
1:延续了my123随机文件的一贯算法:
6位随机英文字母+2位数字。
例如C:/WINDOWS/system32/drivers/dtsghf06.sys
新发现一例:1个数字+3个英文字母+1个数字+3个英文字母
2:全数字
例如C:/WINDOWS/System32/drivers/81562.sys
3:8位随机英文字母
例如C:/WINDOWS/system32/drivers/ccajcdhi.sys
4:四位随机英文字母+下划线+随机英文字母
例如C:/WINDOWS/system32/drivers/gwcd_l.sys
5:两位随机英文字母+下划线+三位随机英文字母
C:/WINDOWS/system32/drivers/iy_ovn.sys
借鉴老崔的思路,收集一些良民驱动( 4月30日更新)
[3WAREDRV / 3WAREDRV][Stopped/Boot Start]
</SystemRoot/System32/DRIVERS/3WAREDRV.SYS><N/A>
[3WAREGSM / 3WAREGSM][Stopped/Boot Start]
</SystemRoot/System32/DRIVERS/3waregsm.sys><N/A>
[3WDRV100 / 3WDRV100][Stopped/Boot Start]
</SystemRoot/System32/DRIVERS/3WDRV100.SYS><N/A>
[ATSpy / ATSpy][Stopped/Manual Start]
</??/C:/WINDOWS/System32/ATSpy.sys><N/A> 金山
[KRegEx / KRegEx][Stopped/Manual Start]
</??/C:/WINDOWS/system32/drivers/KRegEx.sys><N/A> 金山
[EagleNT / EagleNT][Stopped/Manual Start]
</??/C:/WINDOWS/system32/drivers/EagleNT.sys><AhnLab, Inc.> 这个真的确定了很久
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
<System32/DRIVERS/ptilink.sys><Parallel Technologies, Inc.>
[QuakeDRV / QuakeDRV][Running/Boot Start]
</SystemRoot/system32/DRIVERS/quakedrv.sys>
[dump_wmimmc / dump_wmimmc][Stopped/Manual Start]
</??/C:/WINDOWS/system32/drivers/dump_wmimmc.sys><N/A>
[Secdrv / Secdrv][Running/Auto Start]
<system32/DRIVERS/secdrv.sys><Macrovision Europe Ltd>
[SmartLinkService / SLService][Running/Auto Start]
<slserv.exe><> 调 制解调器连接相关程序
[Lenovo file protect service / fsp]
<C:/WINDOWS/fsp.exe><N/A> 联想
[Lenovo auto login helper / usblogon]
<C:/WINDOWS/usblogon.exe><N/A> 联想
[kmsinput / kmsinput][Stopped/Manual Start]
</??/C:/WINDOWS/system32/drivers/kmsinput.sys><N/A> 腾迅反外挂相关程序
[PnpWmkDrv / PnpWmkDrv][Stopped/System Start]
</??/C:/WINDOWS/system32/drivers/PnpWmkDrv.sys><N/A> 完美卸载
[gwiopm / gwiopm]
</??/C:/Program Files/Wom/gwiopm.sys><N/A> 优化大师
<domino><C:/WINDOWS/domino.exe> 摄像头驱动
<VMSnap1><C:/WINDOWS/VMSnap1.exe> [Vimicro] 摄像头驱动
http://www.ygsoft.com/user/ZT000015.htm
=========================================================
下面是摘录
http://www.ygsoft.com/user/ZT000015.htm
灰狗驱动程序的卸载
1、点击"开始/运行"菜单, 在弹出操作窗口中,键入"Regedit"命令;
2、打开注册表, 选择HKEY-LOCAL-MACHINE下的SYSTEM下的CURRENTCONTROLSET下的SERVICES,在其下面找到HOSTNT和MHDRV,然后单击鼠标右键,选删除。
3、删除c:/winnt/system32/drivers下的三个文件hostnt.sys,mhdrv.sys,ioctlvdd.dll
=================================================
下面是摘录
http://www.file.net/prozess/hostnt.sys.html
hostnt.sys file basically check for the User login keywords instead of checking it from authentication server
Saif Saeed
Rate
It is a part of drivers for some software dog, Graydog is one of them.
Enfor
Rate
Driver for Softwaredog SaftNet China
(weitere Info's)
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
