SREng扫描报告的个人见解
第一部分:
启动项目:这部分是系统注册表里系统正常启动时的加载项,xp 系统点开始-运行-msconfig-就可以看到下面的大部分内容。传统的病毒木马会加载到这里。我们设置为自动启动的一些软件的启动项也加载到这里。比如防火墙,杀毒软件,等等。这些东东在安全模式不会被启动。
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
……
==================================
第二部分:
启动文件夹:就是开始菜单里的启动下面的 东东,一般病毒和木马不会幼稚到这个地步,这里一般是空的。这些东东在安全模式不会被启动。
N/A
==================================
第三部分:
服务:就是我们在“管理-服务和应用程序”里面能看到的加载的服务。这些东东在安全模式不会被启动。现在病毒木马流氓的首选隐藏之处。
一般的菜鸟不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑,他们的描述有很大迷惑性,比如“为系统启动提供加速功能”就是最流行的流氓服务,以7255为典型代表。弹出网页的一般是这个。这些东东在安全模式不会被启动。
病毒服务的特征:
1·被rundll32.exe、Svchost.exe等系统进程调用;
2·【】内的前后两项内容相同;
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ,我们都要怀疑。
例:
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>
==================================
第4部分:
驱动程序:目前最流行的流氓行为!allxun/piaoxue等为代表的流氓就加载到这里。这些东东在安全模式也会被启动加载,并自我保护不被删除。
此类病毒文件用unlocker的删除效果比较好。unlocker删除无效时再尝试费尔强制删除工具。
病毒驱动的特征:
1·除一些知名的流氓软件的驱动外,病毒文件名字都随机产生,所以怪异没有任何含义,尤其是包含数字的要注意。
2·第一行的第二个[]内表示运行状态和启动类型,病毒驱动一般为: [Running/Boot Start]
3·第一行的第一个[]内的“/”前后两项内容相同并且和文件名一样,且全部为小写;
4·所属公司为<>或<N/A>或假冒<Microsoft Corporation>,其他的一般不是病毒(也有例外)
例:
[000057b3 / 000057b3] [Running/Boot Start]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>
[cdnprot / cdnprot] [Running/Boot Start]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>
[vydozqfz / vydozqfz] [Running/Boot Start]
<\SystemRoot\system32\drivers\vydozqfz.sys><>
==================================
第5部分:
浏览器加载项: (2007年这里开始潜伏各种流氓加载项,大家注意。这里加载的插件一般都是可有可无的,删除后不会影响ie 浏览的正常功能,所以大可以把怀疑的项目大刀阔斧滴咔嚓掉。)
例:
以下是典型的病毒加载:
[BHOHelper Class]
{67A90DD6-128D-43AB-B97C-565D2DD42A28} <C:\Program Files\real\atloader.dll, Microsoft Corporation>
[ADXAutoLive]
{E5212437-921F-44a3-8865-11C0B9BA4AF2} <C:\Program Files\real\autolive.dll, Microsoft Corporation>
==================================
第6部分:
正在运行的进程
这里是很关键的部分,也是内容最多最乱的部分。凡是系统中正在运行的进程和调用的dll文件在这里一览无遗。3448的新变种只能在这里才可以看到明显的加载。我们扫描前要尽量关闭其他的一些正在运行的软件,免得这部分内容太长,看着麻烦。我们要特别注意以下进程调用的dll文件:
C:\WINDOWS\Explorer.EXE
如果一个dll文件注入这个进程,同时又注入其他进程,就要特别照顾他一下了 。一般的流氓是一定要注入这个进程的。
另外建议:对于求助报告的回复,要以楼主的申诉症状为主。其他的问题发现了,可以单独提出,不要和主项混在一起。比如对于淘宝,google,百度,雅虎,银行,QQ,阿里巴巴等的插件,可能是求助者使用的,不要一概而论,可以做出提示,由楼主选择。
sreng扫描报告的缺陷:
1、没有扫描到注册表中的首页设置,所以对于在ie快捷方式里添加网址的流氓行为,无法判定是首页被修改还是快捷方式的问题。这个问题菜鸟一般都表述不清,根据报告也无法判断。
2、没有扫描到计划任务。现在还没有出现加载到计划任务的流氓软件,但加载到计划任务的病毒早就有了——“布朗特克 Worm.Brontok病毒”。
睡眠状态;有不足之处;待改正。