用微点查明：音量调节居然会修改IE主页。。

旦一刀

以前每次开机后IE主页都会被修改，前两天照这里的一篇帖子修改了微点的设置，主要是设置了锁住IE主页、禁止修改注册表，如此修改后IE主页被修改的现象消失
以前一直很纳闷，我的实时防御组合是KIS6.0+微点，定期用KIS6.0和AVG以及360安全卫士扫描机子，一直没发现什么不干净的东西
这次修改微点设置后，我抓出了元凶：每次只要我用系统托盘里自带的小喇叭按钮进行音量调节，微点都会弹出窗口，截图如下

我没想到居然是这样，哪位大大能给说说咧？到底怎么回事？我又该如何彻底根除隐患？

[ 本帖最后由 旦一刀 于 2008-8-3 14:00 编辑 ]

will

楼主是什么系统？ 什么版本的？
还有最好把C:\windows\system32\sndvol.exe压缩了上传吧

旦一刀

原帖由 will 于 2008-8-3 11:12 发表
楼主是什么系统？ 什么版本的？
还有最好把C:\windows\system32\sndvol.exe压缩了上传吧

我是用XP SP3，补丁一直是打全的，昨天刚用360查过漏洞为0
GHOST是v11.0 Build 070315
下面是C:\windows\system32\sndvol.exe（现在基本证实，这个东西有问题，请大家慎重决定是否下载）

[ 本帖最后由 旦一刀 于 2008-8-3 12:49 编辑 ]

小木鸡

楼上的，你的sndvol32文件一解压缩费尔马上报毒哦

看来微点报得还是有道理的

旦一刀

是啊，我把那个EXE文件放在桌面上试着运行一下，微点也马上就报了，“阻止”后微点把它删除了
但是用KIS6.0和AVG扫描同一文件，说是没问题

如果真是中招了的话，应该不是最初的系统安装盘有问题，因为我回忆装机之后很长时间都没出现IE主页被修改的情况
曾经有一段时间，IE主页也是一开机后就被修改，最后查明是一个随开机启动的“光盘助手”之类的软件干的，删除该软件后问题消失
现在修改主页的情况，大概就是一个月来的事情吧

[ 本帖最后由 旦一刀 于 2008-8-3 11:39 编辑 ]

polly5771

卡巴09扫描不报。运行后启发认为高危险
试图写入C:\windows\system\sndvol.exe被阻止

File sndvol32.exe received on 06.30.2008 18:05:55 (CET)
Current status: finished

Result: 16/33 (48.48%)
Compact Print results  
Antivirus Version Last Update Result
AhnLab-V3 - - Win-Trojan/Xema.variant
AntiVir - - TR/Agent.75264.9
Authentium - - -
Avast - - Win32:Trojan-gen {Other}
AVG - - -
BitDefender - - Trojan.Generic.284974
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - Trojan.Meida
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Trojan-gen  
Ikarus - - Trojan.Meida
Kaspersky - - -
McAfee - - Generic.dx
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - Trojan.Win32.VB.ymn
Sophos - - Mal/Behav-160
Sunbelt - - Fearless Web Downloader
Symantec - - Trojan.StartPage
TheHacker - - -
TrendMicro - - -
VBA32 - - Trojan.Meida
VirusBuster - - -
Webwasher-Gateway - - Trojan.Agent.75264.9

黑色准男爵

微点、卡巴报毒

黑色准男爵

我送LZ一个真货吧，替换system32下面的冒牌货



若果不能替换就用安全模式

旦一刀

谢谢楼上准男爵大人，真货收下了，替换很顺利，替换后目前看来很不错
我再观察观察，谢谢大家
不过还是觉得有点奇怪啊，这事是如何发生的？居然闯过那么多看门的、查房的。。。不过似乎其危害性很低，应该只是修改主页而已吧

[ 本帖最后由 旦一刀 于 2008-8-3 11:59 编辑 ]

will

可能是安装光盘的问题吧   下次换个版本试试  建议使用原版