SREng日志阅读指南(4)
SREng日志阅读指南(4)
浏览器加载项
btlulu原创文章
转载请保留此处:http://blog.btlulu.net/2007/12/16/srengloghelp4/
1. 项目说明:
浏览器加载项是目前大多数流氓软件使用的一种自我加载方法。由于浏览器加载项在系统里面进行了注册,手工清除多有不便,而且浏览器不完善的加载项会导致Internet Explorer或Windows资源管理器崩溃,因此需要能够删除不需要的浏览器加载项。
2. 一般建议:
熟悉常用应用程序如下载软件、播放器的浏览器加载项,以及网银、淘宝支付宝等。
SREng的浏览器加载项对应hijackthis的02、03、08、09、016项。对于有阅读hijackthis的log相关经验的人来说,看这个不成问题。而SREng在这方面的完善基本可以让我们抛弃hijackthis这个老牌分析工具,因为SREng可以对其他项尤其是驱动进行更全面的扫描。在流氓纷纷使用驱动级保护的今天,传统的hijackthis跟不上时代的步伐了。当然,由hijackthis积累起来的宝贵资源不能浪费,除了google以外,http://www.castlecops.com/CLSID.html、http://www.castlecops.com/O9.html、http://www.castlecops.com/ActiveX.html能够提供有效的帮助。
另外,在扫SREng的log前用恶意软件清理助手、360安全卫士等清理一下会好很多。
3. 举例:
[FGCatchUrl]
{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} <D:\Program Files\FlashGet\jccatch_1.dll, www.flashget.com>
[FlashGet GetFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\Program Files\FlashGet\getflash.dll, www.flashget.com>
[快车]
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\Program Files\FlashGet\FlashGet.exe, FlashGet.com>
[快车(FlashGet)]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\Program Files\FlashGet\fgiebar.dll, Amaze Soft>
以上是下载软件FlashGet的加载项。
[PPMedia Class]
{72B15B25-2EC8-4CDD-B284-C89A5F8E8D5F} <D:\Program Files\PPMate\ppmplayer.dll, >
[SopCore Control]
{8FEFF364-6A5F-4966-A917-A3AC28411659} <D:\PROGRA~1\PPMate\SopCore.ocx, >
这是P2P播放器PPMate的加载项。
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
这是招行网银的控件。
[CCtInf Class]
{6DBB2904-082D-4DB0-944A-21C22BA121F4} <C:\WINDOWS\system32\BANKCE~1.DLL, >
这是农行网银的控件。
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[EditCtrl Class]
{488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\aliedit.dll, >
这是支付宝的控件。
4. 疑难解析:
名字比较奇怪的要格外留心。对于公司名是Microsoft的建议到search.microsoft.com确认一下。
注意几个常见的大流氓,如CNNIC:
[Cbho Object]
{352E3B3A-CAB5-4DBC-B940-C7F84D0447D8} <C:\PROGRA~1\CNNIC\Cdn\cdndrag.dll, CNNIC>
[访问通用网址]
<C:\Program Files\CNNIC\Cdn\cnnic.htm, N/A>
