解读 SREng 扫描报告

==================================
第一部分：
启动项目：
这部分是系统登录档里系统正常启动时的加载项。
xp 系统 点开始-执行-输入 msconfig 就可以看到下面的大部分内容。
传统的病毒木马会加载到这里。我们设置为自动启动的一些软体的启动项也加载到这里。
比如防火墙，防毒软体，等等。这些软体在安全模式不会被启动。

登录档
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……

==================================
第二部分：
启动资料夹：
就是开始目录里的启动下面的 东东，一般病毒和木马很少加载到这里，这里一般是空的。
这些资料在安全模式不会被启动。
N/A

==================================
第三部分：
服务：
就是我们在“管理－服务和应用程序”里面能看到的加载的服务。
这些资料在安全模式不会被启动。
现在病毒木马流氓的首选隐藏之处。去年还不流行。
一般的使用者不会到这里查看有什么不对头的地方。即使看到了也不敢怀疑，他们的描述有很大迷惑性，比如“为系统启动提供加速功能”就是最流行的流氓服务，以7255为典型代表。
弹出网页的一般就是这个。
病毒服务的特征：
1·被 rundll32.exe、Svchost.exe 等系统进程使用；
2·【】内的前后两项内容相同；
3·所属公司为<N/A>或假冒<Microsoft Corporation>
4·启动文件指向系统目录
凡是有以上特征之一的 ，我们都要怀疑。
例：
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第四部分：
驱动程序：
目前最流行的流氓行为！allxun/piaoxue 等为代表的流氓就加载到这里。
在安全模式也会被启动加载，并自我保护不被删除。
病毒驱动的特征：
1·名字随机所以怪异，尤其是包含数字的要注意
2·一般在\SystemRoot\system32\drivers\目录下
3·【】内的前后两项内容相同；
4·所属公司为<>·<N/A>或假冒<Microsoft Corporation>，其他的一般不是（也有例外）
例：
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>

[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>

==================================
第五部分：
浏览器加载项：
这里是加载的插件，有背景的大流氓软件热爱。
但打开IE浏览器后可以直接观看到，小流氓和木马病毒不敢也不愿这么明显。
例：
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信发送该图片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>

==================================
第六部分：
正在运行的进程：
这里是很关键的部分，也是内容最多最乱的部分。凡是系统中正在运行的进程和使用的dll文件在这里一览无遗。3448的新变种只能在这里才可以看到明显的加载。我们扫描前要尽量关闭其他的一些正在运行的软体，免得这部分内容太长，看着麻烦。
我们要特别注意以下进程调用的dll文件：
C:\WINDOWS\Explorer.EXE

如果一个dll文件注入这个进程，同时又注入其他进程，就要特别照顾他一下了 。
一般的流氓是一定要注入这个进程的。