瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 挺狡猾的个病毒..但是笑死我了..
mopery - 2006-9-16 4:47:00
S0UNDMAN.exe 是从魔法那里拿来的...这是个冒充声卡一个病毒..
瑞星最新版本暂时不杀..在线扫过...四种杀软查杀..

运行后查点没把我和小聪笑晕...

运行后...HijackThis 可见:O4 - HKCU\..\Run: [SoundMan] C:\Documents and Settings\mopery\桌面\S0UNDMAN\S0UNDMAN.exe
这差点把我笑晕..一个冒充声卡的病毒..竟然文件原地方不动..

生成文件
C:\WINDOWS\system32\XunLeiBHO_v12.dll(冒充讯雷)

添加注册表
HKEY_CURRENT_USER\CLSID\{0005A87D-D626-4B3A-84F9-1D9571695F55}
HKEY_CURRENT_USER\CLSID\{0005A87D-D626-4B3A-84F9-1D9571695F55}\InprocServer32
HKEY_CURRENT_USER\CLSID\{0005A87D-D626-4B3A-84F9-1D9571695F55}\ProgID
HKEY_CURRENT_USER\XunLeiBHO_v12.IEHelperOP
HKEY_CURRENT_USER\XunLeiBHO_v12.IEHelperOP\Clsid

查杀
重启后..那个文件虽然随系统启动但是一会去看不见了..直接删除S0UNDMAN.exe
HijackThis 修复对应的 S0UNDMAN.exe
删除注册表
HKCR\CLSID\{0005A87D-D626-4B3A-84F9-1D9571695F55}
HKCR\XunLeiBHO_v12.IEHelperOP
删除文件
C:\WINDOWS\system32\XunLeiBHO_v12.dll

讯雷真假见图..

此木马有点狡猾..很容易能骗过我们的眼睛..特别是那个讯雷文件..
但是苯的地方就是那个自启...说到这又要笑了..汗...



附件: 632398200691644016.JPG
轩辕小聪 - 2006-9-16 4:56:00
汗,我当时可没笑晕哦,我一般还是比较矜持的
还有错别字,“查点”。

不过,虽然这个文件看起来不怎么样,但是它能假冒迅雷插件,这一点就要注意了。特别是看日志时,要多留心一下那个文件,不能一看到xunleibho就先入为主地认定它是正常的。
deadmanzj - 2006-9-16 5:13:00
M,出来了。。原来删的文件只有那个啊。。看来tiny不是盖的嘛。。我的也没漏显,哈哈,辛苦啦
Greysign - 2006-9-16 6:43:00
严肃点严肃点.
= =
8897603 - 2006-9-16 8:26:00
往往看起来简单的东西往往不一定简单
还是小心点为妙
oo123oo3 - 2006-9-16 8:40:00
.....
好学的人 - 2006-9-16 8:41:00
学习
猪宝宝2006 - 2006-9-16 9:12:00
病毒自己删除S0UNDMAN.exe ,总不会自杀,那它如何启动的?
vipamao - 2006-9-16 9:34:00
【回复“mopery”的帖子】
大哥这个帖子什么时候发的 是在我发那个"音箱中毒"之后吗?

你说的那个原因就是 音箱不响的原因吗?
飞逝流星 - 2006-9-16 9:35:00
SOUNDMAN.exe 在启动象里有,不过在安装声卡以后,还没有上网也是有的,那么怎样才能分辨出哪个是病毒呢???
710207 - 2006-9-16 10:42:00
这和真正的声卡路径不同吧
相同的话会覆盖的
westbeck - 2006-9-16 11:13:00
看日志要小心
闪电风暴 - 2006-9-16 12:28:00
学习了
从头爱你 - 2006-9-16 13:21:00
魔法学徒  好久没看见他了......
tippi - 2006-9-16 13:34:00
看了~
deadmanzj - 2006-9-16 14:01:00
引用:
【飞逝流星的贴子】SOUNDMAN.exe 在启动象里有,不过在安装声卡以后,还没有上网也是有的,那么怎样才能分辨出哪个是病毒呢???
………………

看清楚,是数字0,不是字母O
多毒多问 - 2006-9-16 14:07:00
好像,我有点看不懂
刀刀笨贼 - 2006-9-16 14:18:00
不好笑一点都不好笑。。。。
独孤豪侠 - 2006-9-16 15:07:00
唉.....还是错字多多....服了你.当了版主了还不改改...
无限001 - 2006-9-16 15:08:00
学习了!!
mopery - 2006-9-16 18:02:00
引用:
【猪宝宝2006的贴子】病毒自己删除S0UNDMAN.exe ,总不会自杀,那它如何启动的?
………………


他不自杀...只是重启后轻易可删除那个文件..
mopery - 2006-9-16 18:03:00
引用:
【独孤豪侠的贴子】唉.....还是错字多多....服了你.当了版主了还不改改...
………………


这个...习惯了..打字都是流畅性..

管他错不错滴..
didididi - 2006-9-16 19:47:00
学习了
铁骑无痕火凤凰 - 2006-9-16 22:06:00
我的进程里也有个soundman.exe,但和楼主的情况不大一样,路径部同。
我把日志贴上,高手帮我看看:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:53:16, 日期 2006-9-16
操作系统:  Windows XP  (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 (6.00.2600.0000)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\游戏下载\系统检查及修复工具\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
R3 - URLSearchHook: (no name) - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\kakatool.dll
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera 301x
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O11 - Options group: [TBH] 搜搜地址栏搜索
O16 - DPF: {DD713965-ECD7-407B-A886-FCF999BB6765} (SnSubmitControl Class) - http://jf.sdo.com/sndasec.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE2E19BE-0F84-4A06-BC7D-6510886DAB44}: NameServer = 218.85.157.99 202.101.98.55
O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\System32\SoDAHK.DLL
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
goto2 - 2006-9-17 0:25:00
往往看起来简单的东西往往不一定简单
还是小心点为妙
江南山水 - 2006-9-17 2:44:00
真是有点狡猾啊。
YouMiss - 2006-9-17 5:39:00
版主不要笑了。这个病毒好象并不简单,你再仔细的观察观察吧~!编这个病毒的人好象可没这么傻。更不可能这么笨。
o0BEYOND0o - 2006-9-17 7:58:00
我的电脑老是中毒一天一回我都快晕死了!!!!!
o0BEYOND0o - 2006-9-17 8:01:00
没什么好笑正常!!!奇怪啊!!!!!
o0BEYOND0o - 2006-9-17 8:01:00
没什么好笑正常!!!奇怪啊!!!!!
12
查看完整版本: 挺狡猾的个病毒..但是笑死我了..
© 2000 - 2026 Rising Corp. Ltd.