瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 遇到通用搜索的变种了.所有工具都失败.向高手紧急求救!!!---终于抓到了!!!

12   2  /  2  页   跳转

遇到通用搜索的变种了.所有工具都失败.向高手紧急求救!!!---终于抓到了!!!

收藏
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 01:04 | 显示全部 短消息 资料
字号: 11楼

系统还原是关闭的....不想重装系统.因为我的是tablepc.没有外挂原装光驱是不能重装系统的...
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 01:44 | 显示全部 短消息 资料
字号: 12楼

还有一个线索.换用了firefox就没有问题了.看来问题出在ie相关的模块上
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 02:43 | 显示全部 短消息 资料
字号: 13楼

反复试验有如下现象,如果使用ie进行baidu搜索.那么ie的当前窗口会失去焦点.但是看不到弹出的新窗口.估计隐藏起来了.如果用maxthon的话.那么新窗口可疑看到.如果打开maxthon并且打开ie的时候用ie搜索.那么打开的新窗口会在maxthon内.而我设置的系统默认浏览器是maxthon.刚开机时弹出的网页也时用maxthon的.看来是用了钩子或者USH...可是不知道怎么清除......
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 22:01 | 显示全部 短消息 资料
字号: 14楼

问题终于找出来了!一切办法用尽的时候只好用笨办法.把所有开机运行的程序都禁用.然后一个一个打开试是哪个程序在捣乱.第一个就试出来了.C:\windows\system32\soundman.exe在作怪.
因为按说这个程序是realtek的声卡程序.但是电脑任务托盘里却没有这个图标.所以产生了怀疑.一试就抓到了.
文件没有删除.如果有哪位老大有兴趣研究研究这个东西究竟是怎么躲过无数种围追堵截的的话我传给你.

这个东西太狡猾了!!!真值得研究研究
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-23 22:26 | 显示全部 短消息 资料
字号: 15楼

补充一下.抓到这个东西还有一个线索.我用了filemon加载到启动组里监视开机后的所有进程.发现这个程序有一点异常就是在不断的调用shdocvw.dll.在ie搜索到关键词会跳出窗口的时候它就调用几遍.这个库是和explorer打开新窗口有关的.它作为一个声卡的管理程序在没有人动的情况下老调用这个库显得很不正常.所以才作为第一个试验的目标.所以现在看来filemon这个工具还真的不错.配合procexp立了几次大功了.说不定以后木马病毒越来越发达.filemon也成为大家抓马的标准工具了.
gototop
 
大脑袋雪人
头像
初生襁褓狮
  • 帖子:45
  • 注册: 2005-10-04
  • 来自:
发表于: 2006-08-25 17:14 | 显示全部 短消息 资料
字号: 16楼

楼上的朋友,谢谢你的帮忙.不过有问题的不是shdocvw.dll,这个是系统文件.这个是一个线索.因为soundman.exe在调用这个库.

瑞星工程师反馈如下
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:SOUNDMAN.EXE
    病毒名:Trojan.Clicker.VB.wb

    我们将在较新的18.41.41版本中处理解决,请您届时将您的瑞星软件升级到18.41.41版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT