[求助]sndvol.exe问题

fenshuiyu

之前遇到IE主页反复被修改的现象，我改回来，过一段时间就被改回去，让我不胜苦恼。
优化大师，黄山，AVG，卡巴，木马克星，全都用过了，没用。
今天突然发现，每次我点击音量图标的时候，好像就会激活修改程序。而且，之前一直没当回事，单击音量图标变成了双击，就是说出来的直接是音量高级选项。打开windows/system32/sndvol32.exe，却发现有另外一个sndovl.exe，而且最后修改时间就是在我点击音量图标的时候。
于是google之。
病毒名称 Trojan.Win32.AntiBTC
中文名称  
病毒别名  
病毒类型 特洛伊木马
危险级别 2
相关资料 在运行mprexe.dll文件的时候，要运行sndvol.exe文件然后退出。Sndvol.exe文件通过改变系统的因特网选项，运行自动拨号程序。同时随机选择三个服务器www.btc.bg, www.infotel.bg, ns.infotel.bg，与它们相连后，系统休眠一段时间，但是这个病毒没有其他的举措。

这个病毒是作为一个可执行文件存在的。在运行的时候，病毒从它的主体(MPREXE.DLL 和 SNDVOL.EXE)中会放出两个文件然后把它们复制到windows系统目录下。注意：mprexe.exe可执行文件是一个标准的windows文件。
接着病毒会把mprexe.dll文件记录在系统中同时在系统重启的时候，执行这个文件。由于windows版本的不同，这个登录地址或者在系统登录出，或者是在system.ini文件的启动扇区中的"drivers="字符串中。Mprexe.dll文件被设置成自动执行文件。

进程名称: Troj_Spyware.sndvol
英文描述: 进程分析: 该病毒修改注册表创建系统服务COMSysUser实现自启动。病毒冒充音量控制程序文件名，实际上广告间谍木马病毒。


进程位置: windir\
程序用途: 广告间谍木马病毒  
作者: 国外
属于: unknown  
  
  
  
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是
  
  
  
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否
不过我的电脑中没有MPREXE.DLL 这个文件，system.ini文件的启动扇区中的"drivers="字符串中也没有Mprexe.dll，也没有sndvol.exe这个进程。
而且也没找到解决方法。
怎么办呢？不要说重装撒。。。

流水落花

<P>有一个软件叫木马清道夫，这个是要付费的，但是不用他来杀，用他的免费查木马功能，找到木马文件，然后手动去删看行不行</P><P>删不掉的就用一个叫UNLOCKER的软件强行与进程解锁删除</P><P>我以前杀一个很讨厌的木马就用的这办法……</P><P>另外， 你用过的杀毒软件在安全模式下试过了没有……</P>

流水落花

<P>

据说是加了壳的木马，卡巴杀不出

</P><P>网上说要下载金山杀，未知真伪，我总不能中一下这个病毒来实验- -</P>

永远挚爱

360不能查吗?

InterShine

<P>百度了一下，没找到什么好的办法，只找到这个：</P>据说此病毒发作时会连接几个网站,然后又继续休眠,属于广告类病毒,本身危害不是特别大.
查杀时注意病毒文件是在C:\windows和C:\windows\system文件夹下,而不是C:\windows\system32文件夹,千万不要删错了.
此病毒含SNDVOL.EXE and MPREXE.DLL两个文件,同时生成系统服务COMSysUser,此服务说明为“为计算机系统用户使用的客户端提供COM+组件支持。如果服务被禁用，使用该组件的客户端可能无法正常运行。”
在安全模式下删除以上所说的文件,禁止这个服务,应该可以解决病毒的问题.同时在注册表中搜索有关项目,发现后删除(建议先备份注册表,以防意外).<P>
这种间谍木马是很讨厌的，实在不行，只能重装系统了</P>

fenshuiyu

<B>以下是引用<I>流水落花</I>在2007-11-11 9:03:53的发言：</B>

<P>有一个软件叫木马清道夫，这个是要付费的，但是不用他来杀，用他的免费查木马功能，找到木马文件，然后手动去删看行不行</P>
<P>删不掉的就用一个叫UNLOCKER的软件强行与进程解锁删除</P>
<P>我以前杀一个很讨厌的木马就用的这办法……</P>
<P>另外， 你用过的杀毒软件在安全模式下试过了没有……</P>

根本查不到木马文件，不过这个sndvol.exe是可以删除的，只不过点了音量图标之后，他还会自己出现
没有和进程挂钩，进程表上没有可疑进程
安全模式下，全部家伙都用过了
没用

fenshuiyu

<B>以下是引用<I>流水落花</I>在2007-11-11 9:10:40的发言：</B>

<P>出</P>
<P>网上说要下载金山杀，未知真伪，我总不能中一下这个病毒来实验- -</P>

金山毒霸？

fenshuiyu

<B>以下是引用<I>永远挚爱</I>在2007-11-11 19:26:00的发言：</B>
360不能查吗?

没用

流水落花

<P>我搜索到的别人回帖就是说金山</P><P>估计是安全套装吧，金山升级速度特慢，有那时间重装都够了</P>

fenshuiyu

<B>以下是引用<I>InterShine</I>在2007-11-11 20:20:19的发言：</B>

<P>百度了一下，没找到什么好的办法，只找到这个：</P>据说此病毒发作时会连接几个网站,然后又继续休眠,属于广告类病毒,本身危害不是特别大.
查杀时注意病毒文件是在C:\windows和C:\windows\system文件夹下,而不是C:\windows\system32文件夹,千万不要删错了.
此病毒含SNDVOL.EXE and MPREXE.DLL两个文件,同时生成系统服务COMSysUser,此服务说明为“为计算机系统用户使用的客户端提供COM+组件支持。如果服务被禁用，使用该组件的客户端可能无法正常运行。”
在安全模式下删除以上所说的文件,禁止这个服务,应该可以解决病毒的问题.同时在注册表中搜索有关项目,发现后删除(建议先备份注册表,以防意外).
<P>
这种间谍木马是很讨厌的，实在不行，只能重装系统了</P>

在windows和system文件夹下没找到可疑文件。。。两个文件我也只有前者找不到后者
不过安全模式下禁止系统服务，注册表修改，文件修改，我试试。。。
危害确实不大
就是烦人，我不能忍受
今晚解决不了，明天重装算了