用SREng.exe修复你的系统(含实例分析)
SREng.exe是什么,看图。写得很清楚,是一个用于调整、修复系统的工具。<br /><br />下载地址:<a href="http://www.kztechs.com" target="_blank">http://www.kztechs.com</a><br />下面介绍一些主要的项目。<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_1.jpg" border=0 /><br /><br />一、启动项目<br />1、 注册表<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_2.jpg" border=0 /><br />列出注册表中的启动项,其中点中后呈绿色的为安全,红色显示为高危,蓝色的为未知。点中后下方会显示该项的文件名、公司、文件大小、版本、时间等信息。可以从这里删除、编辑启动项,有的项目是不允许删除,只允许编辑修正(sreng会提示正确的内容,这时只要按提示修改就行)。<br /><br />2、 启动文件夹<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_3.jpg" border=0 /><br />与注册表启动项类似,它的位置就是在程序菜单中的“启动”中。<br /><br />3、 服务(win98中没有这页)<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_4.jpg" border=0 /><br />分为Win32服务应用程序和驱动程序:<br /><br />Win32服务应用程序:就是windows的服务项,点中后了出现服务列表(可以选择“隐藏已认证的微软项目”,如下图,减少判断项),选中服务可以显示服务相关信息(公司、版本、文件大小,但有时显示未知并不代表是病毒)<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_5.jpg" border=0 /><br />这时可以修改启动类型,点“设置”生效。如果发现流氓软件、病毒的服务可以点中“删除服务”再点设置删除,点完设置会出现如下提示。<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_6.jpg" border=0 /><br />注意点“否”才是删除(要看清提示)。<br /><br />驱动程序:相关驱动信息,以前有人说出现开机加载出错,而在启动和服务中没找到相关项,其实就是在驱动中(在注册表中搜索是肯定能找到的)。<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_7.jpg" border=0 /><br />显示和操作与Win32服务应用程序中相同。<br /><br />二、系统修复<br />1、 文件关联<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_8.jpg" border=0 /><br />这里可以修复所列出的文件关联错误,比如.exe、.txt都是病毒会修改的,如果有错误在状态中会显示出“错误”,选中后点“修复”就OK了(当然有的病毒会阻止修改,这时要么到安全模式下去尝试修复,要么先修复其它内容,如启动、服务等,终止病毒进程、删除病毒文件,最后再修复关联)。<br /><br />2、 浏览器加载项<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_9.jpg" border=0 /><br />这时显示是浏览器加载的插件,可以清除绑架浏览器的恶意插件,同样一些顽固的插件用普通的删除是除不掉的,比如3721的中文网址插件,这就要配合其它工具(hijackthis、lspfix、卡卡助手、恶意软件清理助手、360安全卫士、超级兔子或其它手工清理方法清除(多工具配合才是修复系统的王道)<br /><br />3、 HOSTS<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_10.jpg" border=0 /><br />不用多说了是显示hosts文件中内容<br /><br />4、 winsock供应者<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_11.jpg" border=0 /><br />以前有人问有时打不开网页而QQ能上,很多就是因为winsock文件损坏或被篡改,在这页可以查看是否winsock文件发行者是否是微软,如果不是就可疑了,可以点下面的“重置所有内容为默认值”来修复。<br /><br />三、智能扫描<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_12.jpg" border=0 /><br />如果自己无法搞定或修复不成功,就用智能扫描来扫描日志,贴到网上、论坛上,请高手分析解决,sreng的日志比较详细(注意看连autorun.inf信息都有,现在新版本还加入了api_hook),确实是个分析系统的好助手。扫描如下<br /><img src="/images/newpic/2007/4/newimg_1861_20070416145922_13.jpg" border=0 /><br />点保存报告就可以以文本保存日志,将其中文本内容贴到论坛上就行了,不用上传附件。<br /><br />下面通过一个日志来讲解下分析过程,人人都能手动清除病毒和流氓软件了。这是一个旧版本(2.0的,最新是2.3)扫描的日志:<br /><br />----开始----<br /><br />2006-12-16,19:23:58<br />System Repair Engineer 2.0.21.505 (2.0 RC 2)<br />Smallfrogs (<a href="http://www.KZTechs.com)" target="_blank">http://www.KZTechs.com)</a><br />Windows XP Professional Service Pack 2 (Build 2600)<br /> - 管理权限用户 - 完整功能<br />以下内容被选中:<br /> 所有的启动项目(包括注册表、启动文件夹、服务等)<br /> 浏览器加载项<br /> 正在运行的进程(包括进程模块信息)<br /> 文件关联<br /><br />启动项目<br />注册表<br /><br /> <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> <br /> <MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background> <br /><br /> <load><> []<br /><br /> <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> <br /> <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> <br /> <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> <br /> <SoundMan><SOUNDMAN.EXE> <br /> <NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> <br /> <nwiz><nwiz.exe /install> <br /> <NvMediaCenter><RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> <br /> <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> <br /> <rfmflil><C:\WINDOWS\system32\rfmflil.exe> []<br /> <qcsszjcz><c:\chenhu2\chenqxms.exe> [陈虎]<br /> <MSConfig><C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto> <br /> <runeip><C:\Program Files\Rising\AntiSpyware\runiep.exe> <br /> <RichMedia><; C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\HBClient\tbcast.dll",WaitWindows> []<br /><br /> <RavStub><"C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE> <br /><br /> <wk><C:\WINDOWS\system\b8ei89f.exe> []<br /><br /> <shell><Explorer.exe C:\WINDOWS\system32\msvce.exe> []<br /> <Userinit><userinit.exe,> <br /> <UIHost><logonui.exe> <br /><br /> <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> <br />==================================<br /><br />启动文件夹<br /><br /> <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk><N><br />==================================<br /><br />服务<br /><br /> <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.><br /><br /> <C:\WINDOWS\system32\ati2sgag.exe><><br /><br /> <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A><br /><br /> <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation><br /><br /> <C:\WINDOWS\system32\Com\web><N/A><br /><br /> <system32\ServeHost.exe><N/A><br /><br /> <c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.><br /><br /> <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.><br /><br /> <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.><br /><br /> <"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.><br /><br />==================================<br /><br />浏览器加载项<br /><br /> {0005A87D-D626-4B3A-84F9-1D9571695F55} <C:\WINDOWS\system32\xunleibho_v4.dll, ><br /><br /> {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} <C:\Program Files\P4P\SoDaie.dll, N/A><br /><br /> {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司><br /><br /> {62EED7C6-9F02-42f9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL, N/A><br /><br /> {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\DOCUME~1\huang\LOCALS~1\Temp\Rar$EX01.828\Thunder5.5\ComDlls\XunLeiBHO_004.dll, N/A><br /><br /> {E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:\WINDOWS\Downloader.dll, N/A><br /><br /> {F156768E-81EF-470C-9057-481BA8380DBA} <C:\PROGRA~1\XUNCHI~2\FLASHGET\getflash.dll, N/A><br /><br /> {c95fe080-8f5d-11d2-a20b-00aa003c157b} <C:\Program Files\Tencent\QQ\QQ.EXE, TENCENT><br /><br /> {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} <C:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司><br /><br /> {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation><br /><br /> {E0E899AB-F487-11D5-8D29-0050BA6940E3} <C:\PROGRA~1\XUNCHI~2\FLASHGET\fgiebar.dll, Amaze Soft><br /><br /> {17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, Microsoft Corporation><br /><br /> {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8a.ocx, Macromedia, Inc.><br /><br /> {0005A87D-D626-4B3A-84F9-1D9571695F55} <C:\WINDOWS\system32\xunleibho_v4.dll, ><br /><br /> {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} <C:\Program Files\P4P\sodaie.dll, N/A><br /><br /> {22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation><br /><br /> {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A><br /><br /> {2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation><br /><br /> {52A2AAAE-085D-4187-97EA-8C30DB990436} <C:\WINDOWS\system32\hhctrl.ocx, Microsoft Corporation><br /><br /> {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\Program Files\Tencent\QQ\QQIEHelper.dll, 深圳市腾讯计算机系统有限公司><br /><br /> {5EC7C511-CD0F-42E6-830C-1BD9882F3458} <C:\DOCUME~1\huang\APPLIC~1\ppStream\100~1.139\POWERP~1.DLL, PPStream Inc.><br /><br /> {62EED7C6-9F02-42F9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL, N/A><br /><br /> {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation><br /><br /> {8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation><br /><br /> {889D2FEB-5411-4565-8998-1DD2C5261283} <C:\DOCUME~1\huang\LOCALS~1\Temp\Rar$EX01.828\Thunder5.5\ComDlls\XunLeiBHO_004.dll, N/A><br /><br /> {AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation><br /><br /> {B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A><br /><br /> {BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation><br /><br /> {CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation><br /><br /> {CD3AFA84-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation><br /><br /> {CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation><br /><br /> {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.><br /><br /> {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8a.ocx, Macromedia, Inc.><br /><br /> {E0E899AB-F487-11D5-8D29-0050BA6940E3} <C:\PROGRA~1\XUNCHI~2\FLASHGET\fgiebar.dll, Amaze Soft><br /><br /> {E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:\WINDOWS\Downloader.dll, N/A><br /><br /> {F156768E-81EF-470C-9057-481BA8380DBA} <C:\PROGRA~1\XUNCHI~2\FLASHGET\getflash.dll, N/A><br />[上传到QQ网络硬盘]<br /> <C:\Program Files\Tencent\QQ\AddToNetDisk.htm, N/A><br />[使用网际快车下载]<br /> <C:\Program Files\xunchitools\Flashget\jc_link.htm, N/A><br />[使用网际快车下载全部链接]<br /> <C:\Program Files\xunchitools\Flashget\jc_all.htm, N/A><br />[使用迅雷下载]<br /> <C:\DOCUME~1\huang\LOCALS~1\Temp\Rar$EX01.828\Thunder5.5\Program\geturl.htm, N/A><br />[使用迅雷下载全部链接]<br /> <C:\DOCUME~1\huang\LOCALS~1\Temp\Rar$EX01.828\Thunder5.5\Program\getallurl.htm, N/A><br />[导出到 Microsoft Office Excel(&X)]<br /> <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A><br />[添加到QQ自定义面板]<br /> <C:\Program Files\Tencent\QQ\AddPanel.htm, N/A><br />[添加到QQ表情]<br /> <C:\Program Files\Tencent\QQ\AddEmotion.htm, N/A><br />[用QQ彩信发送该图片]<br /> <C:\Program Files\Tencent\QQ\SendMMS.htm, N/A><br />[用比特精灵下载(&B)]<br /> <E:\Program Files\工具\BitSpirit\bsurl.htm, N/A><br /><br />==================================<br /><br />正在运行的进程(进程太多了,我略掉大部分,留点作样子)<br />[\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)><br /><br />……<br /><br /> <NVIDIA Corporation><6.14.10.7777><br /> <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)><br /> <Beijing Rising Technology Co., Ltd.><1, 0, 1, 3><br /> <Beijing Rising Technology Co., Ltd.><1, 0, 0, 4><br /> <Beijing Rising Technology Co., Ltd.><1, 0, 0, 5><br /> <Smallfrogs Studio><2.0.21.505><br /> <Beijing Rising Technology Co., Ltd.><1, 0, 0, 5><br /> <N/A><N/A><br />==================================<br /><br />文件关联<br />.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]<br />.EXE OK. ["%1" %*]<br />.COM OK. ["%1" %*]<br />.PIF OK. ["%1" %*]<br />.REG OK. <br />.BAT OK. ["%1" %*]<br />.SCR OK. ["%1" /S]<br />.CHM OK. ["C:\WINDOWS\hh.exe" %1]<br />.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]<br />.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]<br />.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]<br />.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]<br />.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]<br />.LNK OK. [{00021401-0000-0000-C000-000000000046}]<br />==================================<br /><br />Winsock 提供者<br />==================================<br /><br />----结束---<br /><br />从上面可以看出文件关联、winsock是没问题的,由于这个日志用的sreng.exe版本低,所以有的项目没扫出来,比如autorun.inf,现在版本是可以显示,如果autorun.inf有内容在里面显示就可疑了。<br /><br />现在可以从注册表启动项开始分析,直到进程项。有进程出来肯定是有启动项的,所以启动、服务、驱动是主要分析对象,上网就要加上加载项分析。启动项目删除了重启后进程也就没了,不过有的病毒进程会监测启动项是否被删除,一发现删除立刻重建,所以也要看下是否启动项真的已经删除了。(分析进程还可以用的工具软件是icesword)<br /><br />一般后面有微软认证的都基本是正常,其它如瑞星(rising)等有名的公司的,也可以基本排除(虽然根据公司名并不完全保险,但作为手工清除、初步判断的话还是可以作为依据,不过即便是瑞星的文件,有时sreng也不会显示出公司名,还是要通过路径、文件名、时间等信息判断),剩下的如果觉得可疑,就用文件名、插件名、服务名、驱动名、进程名到网上搜索,比如百度、Google等搜索,如果是正常的就不用管了,不正常就删除(删除可以先找它们自带的卸载程序和控制面板中的添加删除程序来删除,没有再用sreng.exe处理),要删除启动项、浏览器加载项或服务、驱动,并删除相关文件(如果提示不让删除,先到任务管理器中搜索,有可疑进程就先终止再删除,还不行就借助killbox工具删除,或到安全模式、或用启动盘启动到纯DOS下删除)。象前面说的,有的注册表项由于是系统需要的,不能删除,就按sreng的提示编辑修正就行了。在服务或驱动中,如果网络搜索不到相关信息或不放心,就先把相关文件打包放到其它分区备份,运行下没问题再删除。如果sreng.exe处理不了,就用相关文件关键字到网上搜索清理方法(互联网就是伟大,别只想着QQ、游戏,寻求帮助也是很有用的,我们一定要善用)。<br /><br />下面是我的分析结果(红字是注解):<br /><br />用sreng.exe删除以下的启动项及相关文件(还可以借助卡卡助手、恶意软件清理助手、360安全卫士、超级兔子等工具来清理)<br />注册表<br /><br /> <qcsszjcz><c:\chenhu2\chenqxms.exe> [陈虎]智能五笔的陈桥小秘书,如果要删除的话,除注册表中删除,还要删除文件<br /> <RichMedia><; C:\WINDOWS\system32\Rundll32.exe "C:\PROGRA~1\HBClient\tbcast.dll",WaitWindows> []广告插件<br /><br /> <wk><C:\WINDOWS\system\b8ei89f.exe> []可疑项目,不象好东西,肯定不是系统的<br /> <br /> <shell><Explorer.exe C:\WINDOWS\system32\msvce.exe> []这项只能按sreng的提示修正编辑(只保留<shell><Explorer.exe>)<br /><br />==================================<br />启动文件夹<br /><br /> <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WNSO.lnk><N> 万能搜索<br /><br /> ==================================<br />删除服务<br /><br />服务<br />因该机主换用N卡,没有ATI显卡了,可以删除它的驱动<br /> <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.><br /><br /> <C:\WINDOWS\system32\ati2sgag.exe><><br /><br /> <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>弹出广告木马<br />这项查不到,不知是什么东东,可以先禁用服务看看<br /> <C:\WINDOWS\system32\Com\web><N/A><br /><br /> <system32\ServeHost.exe><N/A> 中搜地址栏<br />==================================<br />同样删除<br /><br />浏览器加载项<br /><br /> {E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:\WINDOWS\Downloader.dll, N/A>木马,机主就是说开机出现加载它出错信息而又找不到<br /><br /> {E78F50F9-51CF-40EC-AE3F-4F802528150B} <C:\WINDOWS\Downloader.dll, N/A><br />==================================<br />最后建议删除临时文件c:\documents and settings\用户名\local settings\temp、c:\wuindows\temp和IE缓存文件(ie菜单-工具-internet选项-常规:删除文件-删除所有脱机文件,删除cookie、清除历史文件),最后用杀毒软件扫尾。<br /><br />可能分析不完全,不过方法是这样的,何况你不一定要自己分析,贴出来让高手分析就是了。
页:
[1]