国际米兰

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

搜索
查看: 156|回复: 11
打印 上一主题 下一主题

[求助]sndvol.exe问题 [复制链接]

Primavera

ICN一枝花

Rank: 9Rank: 9Rank: 9

帖子
3871
精华
5
CNB
2718
注册时间
2004-12-9
跳转到指定楼层
楼主
发表于 2007-11-11 00:07:33 |只看该作者 |倒序浏览
分享到:
之前遇到IE主页反复被修改的现象,我改回来,过一段时间就被改回去,让我不胜苦恼。
优化大师,黄山,AVG,卡巴,木马克星,全都用过了,没用。
今天突然发现,每次我点击音量图标的时候,好像就会激活修改程序。而且,之前一直没当回事,单击音量图标变成了双击,就是说出来的直接是音量高级选项。打开windows/system32/sndvol32.exe,却发现有另外一个sndovl.exe,而且最后修改时间就是在我点击音量图标的时候。
于是google之。
病毒名称 Trojan.Win32.AntiBTC
中文名称  
病毒别名  
病毒类型 特洛伊木马
危险级别 2
相关资料 在运行mprexe.dll文件的时候,要运行sndvol.exe文件然后退出。Sndvol.exe文件通过改变系统的因特网选项,运行自动拨号程序。同时随机选择三个服务器www.btc.bg, www.infotel.bg, ns.infotel.bg,与它们相连后,系统休眠一段时间,但是这个病毒没有其他的举措。

这个病毒是作为一个可执行文件存在的。在运行的时候,病毒从它的主体(MPREXE.DLL 和 SNDVOL.EXE)中会放出两个文件然后把它们复制到windows系统目录下。注意:mprexe.exe可执行文件是一个标准的windows文件。
接着病毒会把mprexe.dll文件记录在系统中同时在系统重启的时候,执行这个文件。由于windows版本的不同,这个登录地址或者在系统登录出,或者是在system.ini文件的启动扇区中的"drivers="字符串中。Mprexe.dll文件被设置成自动执行文件。

进程名称: Troj_Spyware.sndvol
英文描述: 进程分析: 该病毒修改注册表创建系统服务COMSysUser实现自启动。病毒冒充音量控制程序文件名,实际上广告间谍木马病毒。


进程位置: windir\
程序用途: 广告间谍木马病毒  
作者: 国外
属于: unknown  
  
  
  
安全等级 (0-5): 0 (N/A无危险 5最危险)
间碟软件: 是
广告软件: 是
病毒: 是
木马: 是
  
  
  
系统进程: 否
应用程序: 否
后台程序: 是
使用访问: 是
访问互联网: 否
不过我的电脑中没有MPREXE.DLL 这个文件,system.ini文件的启动扇区中的"drivers="字符串中也没有Mprexe.dll,也没有sndvol.exe这个进程。
而且也没找到解决方法。
怎么办呢?不要说重装撒。。。
分享到: QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
分享分享0 收藏收藏0 顶0 踩0
So where do we go now?
When can we fly above the clouds?

Presidente

邪恶的小正太

Rank: 35Rank: 35Rank: 35Rank: 35Rank: 35

帖子
70293
精华
45
CNB
26146
注册时间
2003-11-24
沙发
发表于 2007-11-11 09:03:53 |只看该作者
<P>有一个软件叫木马清道夫,这个是要付费的,但是不用他来杀,用他的免费查木马功能,找到木马文件,然后手动去删看行不行</P><P>删不掉的就用一个叫UNLOCKER的软件强行与进程解锁删除</P><P>我以前杀一个很讨厌的木马就用的这办法……</P><P>另外, 你用过的杀毒软件在安全模式下试过了没有……</P>
一期荣华一盃酒

使用道具 举报

Presidente

邪恶的小正太

Rank: 35Rank: 35Rank: 35Rank: 35Rank: 35

帖子
70293
精华
45
CNB
26146
注册时间
2003-11-24
地板
发表于 2007-11-11 09:10:40 |只看该作者
<P>
据说是加了壳的木马,卡巴杀不出
</P><P>网上说要下载金山杀,未知真伪,我总不能中一下这个病毒来实验- -</P>
一期荣华一盃酒

使用道具 举报

(U13)Esordienti

\我想谈朋友/

Rank: 4Rank: 4Rank: 4Rank: 4

帖子
733
精华
0
CNB
592
注册时间
2005-8-2
4#
发表于 2007-11-11 19:26:00 |只看该作者
360不能查吗?

使用道具 举报

(U17)Allievi

莫拉蒂主席的私人助理

Rank: 8Rank: 8

帖子
4208
精华
3
CNB
6022
注册时间
2005-7-13
5#
发表于 2007-11-11 20:20:19 |只看该作者
<P>百度了一下,没找到什么好的办法,只找到这个:</P>据说此病毒发作时会连接几个网站,然后又继续休眠,属于广告类病毒,本身危害不是特别大.
查杀时注意病毒文件是在C:\windows和C:\windows\system文件夹下,而不是C:\windows\system32文件夹,千万不要删错了.
此病毒含SNDVOL.EXE and MPREXE.DLL两个文件,同时生成系统服务COMSysUser,此服务说明为“为计算机系统用户使用的客户端提供COM+组件支持。如果服务被禁用,使用该组件的客户端可能无法正常运行。”
在安全模式下删除以上所说的文件,禁止这个服务,应该可以解决病毒的问题.同时在注册表中搜索有关项目,发现后删除(建议先备份注册表,以防意外).<P>
这种间谍木马是很讨厌的,实在不行,只能重装系统了</P>
I LOVE INTER!!!

使用道具 举报

Primavera

ICN一枝花

Rank: 9Rank: 9Rank: 9

帖子
3871
精华
5
CNB
2718
注册时间
2004-12-9
6#
发表于 2007-11-11 21:31:13 |只看该作者
<B>以下是引用<I>流水落花</I>在2007-11-11 9:03:53的发言:</B>

<P>有一个软件叫木马清道夫,这个是要付费的,但是不用他来杀,用他的免费查木马功能,找到木马文件,然后手动去删看行不行</P>
<P>删不掉的就用一个叫UNLOCKER的软件强行与进程解锁删除</P>
<P>我以前杀一个很讨厌的木马就用的这办法……</P>
<P>另外, 你用过的杀毒软件在安全模式下试过了没有……</P>



根本查不到木马文件,不过这个sndvol.exe是可以删除的,只不过点了音量图标之后,他还会自己出现
没有和进程挂钩,进程表上没有可疑进程
安全模式下,全部家伙都用过了
没用
So where do we go now?
When can we fly above the clouds?

使用道具 举报

Primavera

ICN一枝花

Rank: 9Rank: 9Rank: 9

帖子
3871
精华
5
CNB
2718
注册时间
2004-12-9
7#
发表于 2007-11-11 21:32:10 |只看该作者
<B>以下是引用<I>流水落花</I>在2007-11-11 9:10:40的发言:</B>

<P>出</P>
<P>网上说要下载金山杀,未知真伪,我总不能中一下这个病毒来实验- -</P>



金山毒霸?
So where do we go now?
When can we fly above the clouds?

使用道具 举报

Primavera

ICN一枝花

Rank: 9Rank: 9Rank: 9

帖子
3871
精华
5
CNB
2718
注册时间
2004-12-9
8#
发表于 2007-11-11 21:33:54 |只看该作者
<B>以下是引用<I>永远挚爱</I>在2007-11-11 19:26:00的发言:</B>
360不能查吗?



没用
So where do we go now?
When can we fly above the clouds?

使用道具 举报

Presidente

邪恶的小正太

Rank: 35Rank: 35Rank: 35Rank: 35Rank: 35

帖子
70293
精华
45
CNB
26146
注册时间
2003-11-24
9#
发表于 2007-11-11 21:35:20 |只看该作者
<P>我搜索到的别人回帖就是说金山</P><P>估计是安全套装吧,金山升级速度特慢,有那时间重装都够了</P>
一期荣华一盃酒

使用道具 举报

Primavera

ICN一枝花

Rank: 9Rank: 9Rank: 9

帖子
3871
精华
5
CNB
2718
注册时间
2004-12-9
10#
发表于 2007-11-11 21:36:41 |只看该作者
<B>以下是引用<I>InterShine</I>在2007-11-11 20:20:19的发言:</B>

<P>百度了一下,没找到什么好的办法,只找到这个:</P>据说此病毒发作时会连接几个网站,然后又继续休眠,属于广告类病毒,本身危害不是特别大.
查杀时注意病毒文件是在C:\windows和C:\windows\system文件夹下,而不是C:\windows\system32文件夹,千万不要删错了.
此病毒含SNDVOL.EXE and MPREXE.DLL两个文件,同时生成系统服务COMSysUser,此服务说明为“为计算机系统用户使用的客户端提供COM+组件支持。如果服务被禁用,使用该组件的客户端可能无法正常运行。”
在安全模式下删除以上所说的文件,禁止这个服务,应该可以解决病毒的问题.同时在注册表中搜索有关项目,发现后删除(建议先备份注册表,以防意外).
<P>
这种间谍木马是很讨厌的,实在不行,只能重装系统了</P>



在windows和system文件夹下没找到可疑文件。。。两个文件我也只有前者找不到后者
不过安全模式下禁止系统服务,注册表修改,文件修改,我试试。。。
危害确实不大
就是烦人,我不能忍受
今晚解决不了,明天重装算了
So where do we go now?
When can we fly above the clouds?

使用道具 举报

您需要登录后才可以回帖 登录 | 注册通行证

手机版|Archiver|国际米兰 ( 粤ICP备05005441号 )

GMT+8, 2024-11-30 06:51 , Processed in 0.034955 second(s), 14 queries , Gzip On, Eaccelerator On.

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部