国际米兰

标题: [求助]sndvol.exe问题 [打印本页]
作者: fenshuiyu    时间: 2007-11-11 00:07:33     标题: [求助]sndvol.exe问题

之前遇到IE主页反复被修改的现象,我改回来,过一段时间就被改回去,让我不胜苦恼。
优化大师,黄山,AVG,卡巴,木马克星,全都用过了,没用。
今天突然发现,每次我点击音量图标的时候,好像就会激活修改程序。而且,之前一直没当回事,单击音量图标变成了双击,就是说出来的直接是音量高级选项。打开windows/system32/sndvol32.exe,却发现有另外一个sndovl.exe,而且最后修改时间就是在我点击音量图标的时候。
于是google之。
病毒名称 Trojan.Win32.AntiBTC
中文名称  
病毒别名  
病毒类型 特洛伊木马
危险级别 2
相关资料 在运行mprexe.dll文件的时候,要运行sndvol.exe文件然后退出。Sndvol.exe文件通过改变系统的因特网选项,运行自动拨号程序。同时随机选择三个服务器www.btc.bg, www.infotel.bg, ns.infotel.bg,与它们相连后,系统休眠一段时间,但是这个病毒没有其他的举措。

这个病毒是作为一个可执行文件存在的。在运行的时候,病毒从它的主体(MPREXE.DLL 和 SNDVOL.EXE)中会放出两个文件然后把它们复制到windows系统目录下。注意:mprexe.exe可执行文件是一个标准的windows文件。
接着病毒会把mprexe.dll文件记录在系统中同时在系统重启的时候,执行这个文件。由于windows版本的不同,这个登录地址或者在系统登录出,或者是在system.ini文件的启动扇区中的"drivers="字符串中。Mprexe.dll文件被设置成自动执行文件。

进程名称: Troj_Spyware.sndvol
英文描述: 进程分析: 该病毒修改注册表创建系统服务COMSysUser实现自启动。病毒冒充音量控制程序文件名,实际上广告间谍木马病毒。


进程位置: windir\
程序用途: 广告间谍木马病毒  
作者: 国外
属于: unknown  
  
  
  
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是
  
  
  
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否
不过我的电脑中没有MPREXE.DLL 这个文件,system.ini文件的启动扇区中的"drivers="字符串中也没有Mprexe.dll,也没有sndvol.exe这个进程。
而且也没找到解决方法。
怎么办呢?不要说重装撒。。。
作者: 流水落花    时间: 2007-11-11 09:03:53

<P>有一个软件叫木马清道夫,这个是要付费的,但是不用他来杀,用他的免费查木马功能,找到木马文件,然后手动去删看行不行</P><P>删不掉的就用一个叫UNLOCKER的软件强行与进程解锁删除</P><P>我以前杀一个很讨厌的木马就用的这办法……</P><P>另外, 你用过的杀毒软件在安全模式下试过了没有……</P>
作者: 流水落花    时间: 2007-11-11 09:10:40

<P>
据说是加了壳的木马,卡巴杀不出
</P><P>网上说要下载金山杀,未知真伪,我总不能中一下这个病毒来实验- -</P>
作者: 永远挚爱    时间: 2007-11-11 19:26:00

360不能查吗?
作者: InterShine    时间: 2007-11-11 20:20:19

<P>百度了一下,没找到什么好的办法,只找到这个:</P>据说此病毒发作时会连接几个网站,然后又继续休眠,属于广告类病毒,本身危害不是特别大.
查杀时注意病毒文件是在C:\windows和C:\windows\system文件夹下,而不是C:\windows\system32文件夹,千万不要删错了.
此病毒含SNDVOL.EXE and MPREXE.DLL两个文件,同时生成系统服务COMSysUser,此服务说明为“为计算机系统用户使用的客户端提供COM+组件支持。如果服务被禁用,使用该组件的客户端可能无法正常运行。”
在安全模式下删除以上所说的文件,禁止这个服务,应该可以解决病毒的问题.同时在注册表中搜索有关项目,发现后删除(建议先备份注册表,以防意外).<P>
这种间谍木马是很讨厌的,实在不行,只能重装系统了</P>
作者: fenshuiyu    时间: 2007-11-11 21:31:13

<B>以下是引用<I>流水落花</I>在2007-11-11 9:03:53的发言:</B>

<P>有一个软件叫木马清道夫,这个是要付费的,但是不用他来杀,用他的免费查木马功能,找到木马文件,然后手动去删看行不行</P>
<P>删不掉的就用一个叫UNLOCKER的软件强行与进程解锁删除</P>
<P>我以前杀一个很讨厌的木马就用的这办法……</P>
<P>另外, 你用过的杀毒软件在安全模式下试过了没有……</P>



根本查不到木马文件,不过这个sndvol.exe是可以删除的,只不过点了音量图标之后,他还会自己出现
没有和进程挂钩,进程表上没有可疑进程
安全模式下,全部家伙都用过了
没用
作者: fenshuiyu    时间: 2007-11-11 21:32:10

<B>以下是引用<I>流水落花</I>在2007-11-11 9:10:40的发言:</B>

<P>出</P>
<P>网上说要下载金山杀,未知真伪,我总不能中一下这个病毒来实验- -</P>



金山毒霸?
作者: fenshuiyu    时间: 2007-11-11 21:33:54

<B>以下是引用<I>永远挚爱</I>在2007-11-11 19:26:00的发言:</B>
360不能查吗?



没用
作者: 流水落花    时间: 2007-11-11 21:35:20

<P>我搜索到的别人回帖就是说金山</P><P>估计是安全套装吧,金山升级速度特慢,有那时间重装都够了</P>
作者: fenshuiyu    时间: 2007-11-11 21:36:41

<B>以下是引用<I>InterShine</I>在2007-11-11 20:20:19的发言:</B>

<P>百度了一下,没找到什么好的办法,只找到这个:</P>据说此病毒发作时会连接几个网站,然后又继续休眠,属于广告类病毒,本身危害不是特别大.
查杀时注意病毒文件是在C:\windows和C:\windows\system文件夹下,而不是C:\windows\system32文件夹,千万不要删错了.
此病毒含SNDVOL.EXE and MPREXE.DLL两个文件,同时生成系统服务COMSysUser,此服务说明为“为计算机系统用户使用的客户端提供COM+组件支持。如果服务被禁用,使用该组件的客户端可能无法正常运行。”
在安全模式下删除以上所说的文件,禁止这个服务,应该可以解决病毒的问题.同时在注册表中搜索有关项目,发现后删除(建议先备份注册表,以防意外).
<P>
这种间谍木马是很讨厌的,实在不行,只能重装系统了</P>



在windows和system文件夹下没找到可疑文件。。。两个文件我也只有前者找不到后者
不过安全模式下禁止系统服务,注册表修改,文件修改,我试试。。。
危害确实不大
就是烦人,我不能忍受
今晚解决不了,明天重装算了
作者: 蓝黑我的生命    时间: 2007-11-11 23:05:13

越看越觉得师太的头像 像本人了
作者: 流水落花    时间: 2007-11-11 23:07:48

我看你的头像比较像你的好兄弟



欢迎光临 国际米兰 (http://bbs.inter.net.cn/) Powered by Discuz! X2