解讀 SREng 掃描報告

==================================
第一部分：
啓動項目：
這部分是系統登錄檔裡系統正常啓動時的加載項。
xp 系統 點開始-執行-輸入 msconfig 就可以看到下面的大部分內容。
傳統的病毒木馬會加載到這裡。我們設置爲自動啓動的一些軟體的啓動項也加載到這裡。
比如防火牆，防毒軟體，等等。這些軟體在安全模式不會被啓動。

登錄檔
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

……

==================================
第二部分：
啓動資料夾：
就是開始目錄裡的啓動下面的 東東，一般病毒和木馬很少加載到這裡，這裡一般是空的。
這些資料在安全模式不會被啓動。
N/A

==================================
第三部分：
服務：
就是我們在“管理－服務和應用程序”裏面能看到的加載的服務。
這些資料在安全模式不會被啓動。
現在病毒木馬流氓的首選隱藏之處。去年還不流行。
一般的使用者不會到這裏查看有什麽不對頭的地方。即使看到了也不敢懷疑，他們的描述有很大迷惑性，比如“爲系統啓動提供加速功能”就是最流行的流氓服務，以7255爲典型代表。
彈出網頁的一般就是這個。
病毒服務的特徵：
1·被 rundll32.exe、Svchost.exe 等系統進程使用；
2·【】內的前後兩項內容相同；
3·所屬公司爲<N/A>或假冒<Microsoft Corporation>
4·啓動文件指向系統目錄
凡是有以上特徵之一的 ，我們都要懷疑。
例：
[RestoreService / RestoreService]
<C:\WINDOWS\system32\Svchost.exe -k RestoreService-->C:\WINDOWS\system32\drivers\service.dll><N/A>
[Standard Update Net Service / stdupnet]
<C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\stdupnet.dll,Service -s><Microsoft Corporation>
[VisionService / VisionService]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\vision\VISVER.DLL,Service><Microsoft Corporation>

==================================
第四部分：
驅動程序：
目前最流行的流氓行爲！allxun/piaoxue 等爲代表的流氓就加載到這裡。
在安全模式也會被啓動加載，並自我保護不被刪除。
病毒驅動的特徵：
1·名字隨機所以怪異，尤其是包含數字的要注意
2·一般在\SystemRoot\system32\drivers\目錄下
3·【】內的前後兩項內容相同；
4·所屬公司爲<>·<N/A>或假冒<Microsoft Corporation>，其他的一般不是（也有例外）
例：
[000057b3 / 000057b3]
<\SystemRoot\system32\drivers\000057b3.SYS><N/A>

[cdnprot / cdnprot]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>

[cdntran / cdntran]
<system32\drivers\cdntran.sys><CNNIC>

[npkycryp / npkycryp]
<\??\C:\Program Files\Tencent\qq\npkycryp.sys><N/A>

[vydozqfz / vydozqfz]
<\SystemRoot\system32\drivers\vydozqfz.sys><>

==================================
第五部分：
瀏覽器加載項：
這裏是加載的插件，有背景的大流氓軟件熱愛。
但打開IE瀏覽器後可以直接觀看到，小流氓和木馬病毒不敢也不願這麽明顯。
例：
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[用QQ彩信發送該圖片]
<C:\Program Files\Tencent\qq\SendMMS.htm, N/A>
[訪問通用網址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>

==================================
第六部分：
正在運行的進程：
這裏是很關鍵的部分，也是內容最多最亂的部分。凡是系統中正在運行的進程和使用的dll文件在這裏一覽無遺。3448的新變種只能在這裡才可以看到明顯的加載。我們掃描前要盡量關閉其他的一些正在運行的軟體，免得這部分內容太長，看著麻煩。
我們要特別注意以下進程調用的dll文件：
C:\WINDOWS\Explorer.EXE

如果一個dll文件注入這個進程，同時又注入其他進程，就要特別照顧他一下了 。
一般的流氓是一定要注入這個進程的。