瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 遇到通用搜索的变种了.所有工具都失败.向高手紧急求救!!!---终于抓到了!!!

123   3  /  3  页   跳转

遇到通用搜索的变种了.所有工具都失败.向高手紧急求救!!!---终于抓到了!!!

收藏
smflash
头像
初生襁褓狮
  • 帖子:52
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-23 08:50 | 短消息 资料
字号: 21楼

你有没有按照我9楼的贴子清理那三项?可以去试试,因为那三项可能是恶意劫持程序。

如果不行,可以考虑以下几种方式:

1,用正版瑞星、卡巴查杀病毒程序,很可能是木马病毒程序在作怪;

2,用国外的查杀恶意劫持程序的软件进行查杀,推荐:superadblocker(用google搜索下载,是一个月试用版,更新病毒库后查杀)

3,用安全卫士360的分析工具对运行程序分析,它的分析功能相当强大的。手工找出可以程序。
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 22:01 | 只看楼主 短消息 资料
字号: 22楼

问题终于找出来了!一切办法用尽的时候只好用笨办法.把所有开机运行的程序都禁用.然后一个一个打开试是哪个程序在捣乱.第一个就试出来了.C:\windows\system32\soundman.exe在作怪.
因为按说这个程序是realtek的声卡程序.但是电脑任务托盘里却没有这个图标.所以产生了怀疑.一试就抓到了.
文件没有删除.如果有哪位老大有兴趣研究研究这个东西究竟是怎么躲过无数种围追堵截的的话我传给你.

这个东西太狡猾了!!!真值得研究研究
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-08-23 22:17 | 短消息 资料
字号: 23楼

嗯,正常的不在这个目录里,楼主思路与动手能力不错。
把那东东也传我一份吧
twtxk@126.com
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 22:26 | 只看楼主 短消息 资料
字号: 24楼

补充一下.抓到这个东西还有一个线索.我用了filemon加载到启动组里监视开机后的所有进程.发现这个程序有一点异常就是在不断的调用shdocvw.dll.在ie搜索到关键词会跳出窗口的时候它就调用几遍.这个库是和explorer打开新窗口有关的.它作为一个声卡的管理程序在没有人动的情况下老调用这个库显得很不正常.所以才作为第一个试验的目标.所以现在看来filemon这个工具还真的不错.配合procexp立了几次大功了.说不定以后木马病毒越来越发达.filemon也成为大家抓马的标准工具了.
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-08-23 22:37 | 短消息 资料
字号: 25楼

filemon以下载。日后研究一下。
gototop
 
smflash
头像
初生襁褓狮
  • 帖子:52
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-24 13:56 | 短消息 资料
字号: 26楼

我在9楼已经指出,hijachthis怀疑shdocvw.dll程序有问题。果然是。
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-25 17:14 | 只看楼主 短消息 资料
字号: 27楼

楼上的朋友,谢谢你的帮忙.不过有问题的不是shdocvw.dll,这个是系统文件.这个是一个线索.因为soundman.exe在调用这个库.

瑞星工程师反馈如下
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:SOUNDMAN.EXE
    病毒名:Trojan.Clicker.VB.wb

    我们将在较新的18.41.41版本中处理解决,请您届时将您的瑞星软件升级到18.41.41版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT