xp的log檔簡介

作者Jason11982 ()

看板AntiVirus

標題xp的log檔簡介

時間Thu Sep 16 00:22:13 2004

這是一篇介紹xp的log檔的範本，適用於XP/NT/2000，執行程式所屬的資料夾會因為系統版本不同而異，以%System%代表注意：%System% 代表變數。病蟲會找到 System 資料夾並將自己複製過去。預設的位置是 C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP). 在這篇文章中所有列出的程式和機碼都是正常的。你的log檔中可能沒有下列的檔案；不必擔心，因為每台電腦都不太一樣另外，很多介紹的資料我翻譯自： http://www.bleepingcomputer.com/forums/index.php?showtutorial=42 礙於英文不好 + 中文詞不達意；翻的不好請見諒，有錯請指正！ ----以下是一些基本資訊---- Logfile of HijackThis v1.98.2 Scan saved at 上午 01:15:20, on 2004/9/13 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) ----以下為電腦正在執行的程式---- Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\conime.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Documents and Settings\使用者名稱\桌面\hijackthis\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\csrss.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\MsgSys.EXE ----02的項目---- 這個部分相當於"瀏覽器輔助物件"(Browser Helper Objects)。"瀏覽器輔助物件"是一些為了延伸瀏覽器功能而插入的元件。他們可以被間諜軟體或是一些合法的程式像是 Google Toolbar 和 Adobe Acrobat Reader 所用。當你決定要移除這些元件之前，一定要先確認是否為合法的。當你用Hijackthis修復這些項目時，Hijackthis會試圖刪除這些列出來有害的檔案。有時候，即使Internet Explorer已經被關閉，但這些檔案仍可能在使用中。假如你用 Hijackthis修復它後而這些檔案仍然存在，建議你重開機到安全模式下刪除這些有害的檔案。 O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll ----03的項目---- 這個部分相當於Internet Explorer的工具列。這些是位於Internet Explorer中在你的"navigation bar和表單"之下的工具列。 O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll ----04的項目---- 這個部分相當於：當Windows啟動時會自動載入的系統登錄值以及作業開始所需的資料夾們。當你修復04的項目時，Hijackthis並不會刪除和這些項目有關的檔案。你一定要在稍後用手動刪除，通常是進入安全模式下進行此動作。雖然有很多合法的程式從這項目開始，也有一些幾可亂真的可疑程式混雜其中。 O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAd vDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EX E/SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /I MEName O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.e xe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRe g Vfy.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL ,NvTaskbarInit O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /backg round ----08的項目---- 這個部分相當於在Internet Explorer的Context Menu中的額外項目。那代表著：當你用瀏覽器開啟網頁時，按滑鼠右鍵將會看到的選項。當你按滑鼠右鍵，這裡所列出的項目將會出現在選單中，以及一些當你點選選項會執行的程式。有一些名稱像是"Browser Pal"，應該將它移除掉；至於剩下來的部分則要用Google 來探查。當你修復這類型的項目時，Hijackthis並不會刪除這些列出來的有害檔案。建議你重開機到安全模式下把這些有害檔案刪除。 O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MI CROS~2\Office10\EXCEL.EXE/3000 ----09的項目---- 這個部分相當於主Internet Explorer的工具列上的按鈕以及未履行的Internet Explorer 的工具表單中的項目。如果你不需要這些按鈕或表單或是認定它們是惡意程式，你可以安全地將它們移除。當你修復這類型的項目時，Hijackthis並不會刪除這些列出來的有害檔案。建議你重開機到安全模式下把這些有害檔案刪除。 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00a a003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE ----016的項目---- 這個部分相當於ActiveX物件，也就是Downloaded Program Files。 ActiveX物件是從網站被下載下來並儲存到你的電腦。這些物件被存在C:\windows\Downloaded Program Files. 如果你有看到你不認識的名稱或網址，你應該利用Google來查看他們是否為合法的。假如你認為它們不是合法的，應該要將它們修復。一般說來，若從你的電腦刪除大部分的 ActiveX物件，當你要再次下載它們並不會發生問題。但要注意有些公司的應用(applications)會使用ActiveX 物件。你應該要把含有sex,porn,dialer,free,casino,adult等字眼的 016項目刪除。當你修復016的項目時，Hijackthis會試圖將它們從你的電腦中刪除。正常來說，這些並不是程式，但有時候Hijackthis沒辦法刪除這些有害的檔案。假如這情況發生，重開機到安全模式下將它們刪除。 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http:/ /v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.c ab?1095000151396 ----017的項目---- 017的項目可以不用管 O17 - HKLM\System\CCS\Services\Tcpip\..\{E0ED4B1D-5B18-4D99-8CD1-4AF0EB898780}: NameServer = 140.113.6.2,140.113.1.1 ----018的項目---- 若只有一兩個可疑的項目，確認之後將它修復。有的人的log檔裡可能會有類似以下一堆的項目；那是正常的，不必管他。 O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\POWERW~1\XDictExB.dll O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ipp - (no CLSID) - (no file) O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - %SystemRoot%\System32\inetcomm.dll O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL O18 - Protocol: OWC11.mso-offdap - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - %SystemRoot%\System32\mshtml.dll O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.31.176.9 ※ 編輯: Jason11982 來自: 61.31.176.9 (09/16 00:41)