Board logo

标题: 电脑自动播放声音(声音来源已经找到,但是却不知道如何清理,继续求助) [打印本页]
作者: zhh01pfg     时间: 2008-4-21 13:53    标题: 电脑自动播放声音(声音来源已经找到,但是却不知道如何清理,继续求助)

具体症状可以参照下文。跟我遇到的情况一莫一样。

请教大家一个问题:电脑中自动播放的讨厌的声音---169V视讯中国流氓病毒
http://hi.baidu.com/%C5%A3%C5%A3 ... ca25acfe7a8cbefd0b0

这儿有别人的一段回复。

  “确切说是一种新型的流氓广告(哈哈,我为它命名先!),应用太极链技术,强行在浏览者电脑中传播多媒体广告内容,169V视讯中国可算一个非常正规的网站,前段时间还有人声援YOUTOBE抄袭169V视讯中国的网络演唱会模式,169V视讯中国开风气之先不能不能说功劳有嘉,然而它这种流氓的行径终将遭到广大用户的抛弃!“


清理了半天清不掉,高手来讲讲到底应该如何做啊。

________________________________________________________________________________________




声音的来源终于找到了。以前安装某个软件时,微点曾经报告木马并删除了大部分安装的文件。但留下了一些IE联接(6d6d.net免费电影网站)在桌面上,我并没有打开他们,是自己手动删掉的。今天才发现并没有清理干净。打开explorer,然后点搜索,再点击"搜索internet",出来 的就是这个该死的http://www.6d6d.net/网站,而那个声音就是这个该死的网页上的flash广告。请教一下这个应该如何修改回来?


[ Last edited by zhh01pfg on 2008-4-22 at 19:58 ]
作者: hard     时间: 2008-4-21 14:11
可以利用微点的系统自启动信息,或者利用微点的模块信息进行删除
作者: zhh01pfg     时间: 2008-4-21 14:18
我看不出来有什么可疑的自启动程序。

找遍了网络貌似没有什么好办法清除。那个优化大师的办法根本不行。

请高手救命。

[ Last edited by zhh01pfg on 2008-4-21 at 14:21 ]
作者: zhh01pfg     时间: 2008-4-21 14:39
现在的问题就是他不定时的播放,即使断开网络,关闭浏览器也会播放,但是用360安全卫士,卡巴斯基等都查不出任何端倪。也没有发现什么可疑的进程和自启动程序。这到底是怎么搞得阿~~~~~~~~我服了~~~~~~~~~~~~~~

好像现在暂时没有声音了。

[ Last edited by zhh01pfg on 2008-4-21 at 14:42 ]
作者: hard     时间: 2008-4-21 14:53
播放声音时,你有没有打开ie?
作者: cncsf     时间: 2008-4-21 16:16
好像是一种木马,它自己创建了三个伪系统服务项和几个陌生服务项,前日我有帮朋友清过一次。

我过去清时我朋友机器系统补丁是全打好的,但进系统要等很久,反映也慢,taskmgr.exe是禁用的,很多程序都开不起,拔号上网后也是自动播放广告声音,不让下载杀软,包括微点。

后来我用下载工具直接下了微点在安全模式上安装,并清掉了注册表中的一些启动项和陌生服务项后重启,居然近半个小时进不了系统,后重进安全模式查出伪系统服务项禁用之并再次重启,(但搜索服务项指向的程序文件名却找不到),顺利进入系统,开微点又手动捣掉十余处陌生自启动信息,在开启‘我的电脑’时微点突然跳出提示发现一DLL文件为未知木马,说会衍生出一个Exe文件,我就把它删了,之后一切正常!~
作者: Legend     时间: 2008-4-21 16:21
请问【cncsf】是否有样本文件,如果有,请发生的我们virus@micropoint.com.cn 邮箱,随信请附带此贴链接,谢谢。

您发送完后,请通过论坛短消息将您的邮箱地址发给我,也请附带此贴链接。
作者: zhh01pfg     时间: 2008-4-22 18:44
晕,现在又来了,而且换了一个女人的声音(不过比以前要好听些)~~~~~~~

逛了几个安全软件论坛都找不到解决方法,难道真的只能重装系统了吗?
作者: zhh01pfg     时间: 2008-4-22 18:44


  Quote:
Originally posted by hard at 2008-4-21 14:53:
播放声音时,你有没有打开ie?

如果只是因为ie的问题就好了~~~~~更何况我从来都是用firefox浏览网页的~~~~~

[ Last edited by zhh01pfg on 2008-4-22 at 18:49 ]
作者: zhh01pfg     时间: 2008-4-22 18:51
ok,在我开机烦了我5分钟后,现在暂时又没有声音了~~~
作者: just4money     时间: 2008-4-23 19:59
“视讯中国”流氓广告的事情也发生打我机子上,用过知名度高的几款清理软件去清理也没有成功,现打还被这广告烦着,期待版主解决啊。
作者: Legend     时间: 2008-4-23 20:17
请楼主和【just4money】加入微点技术交流群: I. 16998902   Ⅱ. 1471553   Ⅲ. 630086 [请您逐个尝试加入]

也可以使用QQ将微点在线管理员加为好友(QQ:383154254或466248167),让他协助您在线分析处理一下。

注意:在加群和联系管理员时,请告诉管理员您的论坛ID和帖子链接。
作者: just4money     时间: 2008-4-23 20:56
刚加了管理员QQ给我协助了下,没有发现什么,比较难过。难道真是道高一尺魔高一丈?
作者: just4money     时间: 2008-4-23 20:58
并且协助时正好有广告网页自动弹出,嗨,真叹气啊~~~
作者: gudan     时间: 2008-4-23 21:07
检查SPI、BHO、以及是否有rundll32运行的程序
作者: just4money     时间: 2008-4-23 21:15
“检查SPI、BHO、以及是否有rundll32运行的程序”,这句我只能看懂中文部分,并不知道如何去实行。
作者: gudan     时间: 2008-4-23 23:58


  Quote:
Originally posted by just4money at 2008-4-23 21:15:
“检查SPI、BHO、以及是否有rundll32运行的程序”,这句我只能看懂中文部分,并不知道如何去实行。

至于rundll32进程不过是流氓程序经常使用的加载方式,流氓程序通常会释放几个dll使用rundll32来加载,再用驱动保护这几个dll及其注册表不被修改和删除

[ Last edited by gudan on 2008-4-24 at 00:01 ]
附件 1: 1.PNG (2008-4-23 23:58, 56.16 K,下载次数: 43)


附件 2: 2.PNG (2008-4-23 23:59, 35.77 K,下载次数: 23)


附件 3: 3.PNG (2008-4-23 23:59, 29.73 K,下载次数: 37)


作者: 点饭的百度空间     时间: 2008-4-24 18:50


  Quote:
Originally posted by just4money at 2008-4-23 21:15:
“检查SPI、BHO、以及是否有rundll32运行的程序”,这句我只能看懂中文部分,并不知道如何去实行。

楼主有没有用微点检查过?
先进微点主界面检查:
分别点击可疑程序诊断 点击系统自启动信息和模块进程(然后右键隐藏已知 看看有没有蓝色显示的内核模块)  有没有rundll32在运行程序

参照17楼的方法  未找到可疑去下载sreng检查下
http://www.kztechs.com/sreng/download.html本地下载2
作者: threeswords     时间: 2008-4-27 10:52
我有个朋友也中了这个流氓软件
严格来说算不上病毒
这东西好像说应用了什么太极链技术。。。不懂
我这几天晚上QQ上协助她弄了好几次,用微点清理的,但是所用可疑的开机启动都删除了,问题还是存在,试了金山清理专家,windows清理助手,360安全卫士,统统没效果,微点的日志我也看了,也没发现可疑

昨晚去网上差了下资料,目前提到的方法是利用windows优化大师来清理
中了这个流氓软件的 可以 百度里搜索  169V视讯中国
给个帖子链接
http://bbs.cfan.com.cn/viewthread.php?tid=704501

昨晚我朋友准备用用优化大师来弄的,但是她先试了下如下几个步骤:
1.清空TEMP目录以及IE临时文件,可以用金山清理专家
2.升级windows清理助手到最新特征库,可以查出这个流氓软件
3.重启系统

今天早上她跟我说暂时声音没了 ,但是声音是否还会不会出现还得等这两天多观察下
作者: Legend     时间: 2008-6-4 17:24
没有收到楼主发送的邮件,请楼主及时发送一下。
作者: dsl5     时间: 2008-6-4 20:53
请楼主搜索系统中有没ie[1].swf这个文件,如果有的话删除之!

同时搜索注册表,搜索关键字:ie[1].swf,假如有这个项目,删除!

[ Last edited by dsl5 on 2008-6-4 at 21:46 ]
作者: dsl5     时间: 2008-6-4 21:45
ie[1].swf的在线扫描结果

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.5.30.1 2008.06.04 -
AntiVir 7.8.0.26 2008.06.04 EXP/Flash.Gen
Authentium 5.1.0.4 2008.06.04 -
Avast 4.8.1195.0 2008.06.04 SWF:CVE-2007-0071
AVG 7.5.0.516 2008.06.04 Exploit.Flash
BitDefender 7.2 2008.06.04 Exploit.SWF.Gen
CAT-QuickHeal 9.50 2008.06.03 SWF.Exploit
ClamAV 0.92.1 2008.06.04 Exploit.SWF.Downloader
DrWeb 4.44.0.09170 2008.06.04 Exploit.SWF
eSafe 7.0.15.0 2008.06.03 -
eTrust-Vet 31.6.5847 2008.06.04 -
Ewido 4.0 2008.06.04 -
F-Prot 4.4.4.56 2008.06.02 -
F-Secure 6.70.13260.0 2008.06.04 -
Fortinet 3.14.0.0 2008.06.04 W32/SWF!exploit.CVE2007071
GData 2.0.7306.1023 2008.06.04 SWF:CVE-2007-0071
Ikarus T3.1.1.26.0 2008.06.04 -
Kaspersky 7.0.0.125 2008.06.04 -
McAfee 5309 2008.06.03 Exploit-CVE2007-0017
Microsoft 1.3604 2008.06.04 Exploit:Win32/APSB08-11.gen!A
NOD32v2 3157 2008.06.04 SWF/Exploit.CVE-2007-0071
Norman 5.80.02 2008.06.04 -
Panda 9.0.0.4 2008.06.04 -
Prevx1 V2 2008.06.04 -
Rising 20.47.22.00 2008.06.04 Hack.Exploit.Swf.a
Sophos 4.30.0 2008.06.04 Sus/SWFScene-A
Sunbelt 3.0.1144.1 2008.06.04 -
Symantec 10 2008.06.04 Downloader.Swif.C
TheHacker 6.2.92.333 2008.06.03 -
VBA32 3.12.6.7 2008.06.03 -
VirusBuster 4.3.26:9 2008.06.03 -
Webwasher-Gateway 6.6.2 2008.06.04 Exploit.Flash.Gen
附加信息
File size: 1521 bytes
MD5...: 0f07b749f7dfe747614d591be23187d4
SHA1..: a17d0da959146d04a803b3193d1be8e8a5ff9ba7
SHA256: c72830dd4c51c7d20b1d433af8e53f38551d8ace0193595280d42c0377ec2e51
SHA512: 00ab891a29de0a8c1421b1eedf330e2a0d43d7f4dc920b3cd4423b6c6ae2866b
615cf147931ea446f35e6bf3275c1be895d36e018e033ffc2bf92c4072e657f2
PEiD..: -
PEInfo: -



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn