大家给看下这是什么木马啊!
sndvol32.exe是微软Microsoft Windows音量控制程序,该程序用于调节你的计算机音量(包括主音量、CD音频等)。该进程会驻留在系统托盘中。
wextract.exe:这是一个用解压缩Windows文件的文件。
可能是这个软件的误报吧?
你更好再用其它的一些木马查杀软件再次交叉扫描下。
计算机中SND是什么文件?
什么是文件名后缀
说起来Windows工作界面下的文件名简直是随心所欲,比如:某编辑部的2000年工作计划。文件名即可用中文直接表达,而且长度最长可达256个字符,让人看起来真是一目了然。然而在Windows环境中,安装的软件中却大量存在着类似CALENDAR.EXE、GAMES.GRP等等的文件名,这又是为什么呢?原来这些文件名都是根据DOS环境的文件名命名规则而定的。
DOS环境下的文件名
在DOS下,文件名采用8+3结构,即:最长8位的文件名,由小数点分隔后再跟上最长3位的后缀名,如:READ.ME、SETUP.EXE,一般情况下文件名不允许使用汉字,只能由字母、数字和一些符号组成。如READ.ME用中文理解就是“读我”,即提示用户在使用软件前先看看这个文件的内容,以获取更多的提示信息。而更重要的是,DOS下规定用后缀名来区分各种不同的文件。
在DOS下最容易遇到的首先是可执行文件,后缀名有两类:*.exe、*.com(此处的*表示文件名任意),它们是由汇编语言或其它高级语言编出的程序经过编译后直接在DOS下运行的文件。有时由于软件功能多、内存偏小,不能一次性全部调入内存还可能有同文件名的ovl文件,如ws.exe、ws.ovl。另外还有一种文件可以直接运行,*.bat,即批处理文件,其中有许多命令或可执行文件名,主要用于提高工作效率,其中最有用的是Autoexec.bat,这个文件在开机时会被自动执行(自动执行在英文中就是Automatically execute)。而另外一种可以加载但不能直接运行的文件即是系统扩展管理文件*.sys(sys即系统system),它主要提供某些非标准设备如鼠标、扩充内存等的驱动程序,如mouse.sys、himem.sys。为了统一管理还专门规定了一个config.sys的文本文件来一次性地在开机时自动调入这些必需的设备驱动程序,这些文件一旦被误删或换名或被病毒侵袭则将直接导致系统工作不正常。
DOS下字处理产生的文件原本是可以不用后缀的,但人们常用*.txt表示(txt即文本text)。被所有的平台和所有应用程序支持。而为了管理方便,人们也可以用自己的名字做后缀来表示是自己建的文本文件,如我输入的很多文章即为*.mcj,为了便于用户在意外删掉原文件的情况下能尽快恢复原文件,许多字处理系统都提供了一种自动备份的功能,如我第二次编辑JIHUA.MCJ时(JIHUA:计划的汉语拼音),系统会先拷贝一份原文件为JIHUA.BAK。使用具有特殊格式功能的字处理软件,如求伯君先生早年推出的WPS,就会规定其后缀为.wps,用以标识是用WPS生成的文本文件。当使用字处理软件编辑高级语言程序时,后缀通常为相应语言的前三个字母(如:*.BAS即BASIC语言源程序,*.PAS为PASCAL语言程序,*.FOR为Fortran语言程序,*.C即为C语言,*.A *** 即为汇编语言程序)。
伴随着可执行文件常附有以下几类文件:*.HLP即帮助文件(help)、*.CFG即配置文件(config)、*.DAT即数据文件(data)、*.LOG即日志文件(log)、*.TMP为临时文件(temporal)。
Windows环境下的文件名
绝大多数DOS文件名后缀在Windows下继续有效,但Windows本身也引出了许多种崭新的后缀名,如:*.drv为设备驱动程序(Driver)、*.fon和*.fot都是字库文件、*.grp为分组文件(Group)、*.ini为初始化信息文件 (Initiation)、*.pif为DOS环境下的可执行文件在Windows下执行时所需要的文件格式、*.crd即卡片文件(Card)、*.rec即记录器宏文件(Record)、*.wri即文本文件(Write),它是字处理write.exe生成的文件、*.doc和*.rtf也是文本文件(Document),它们是Word产生的文件、*.cal为日历文件、*.clp是剪贴板中的文件格式、*.htm和 *.html即主页文件、*.par为交换文件、*.pwl为口令文件(Password)等等。
图像文件名后缀进入多媒体世界后,大家会看到各种各样精彩的图片,会发现许多种后缀名。的确,由于各个公司在开发图形有关的软件时都自制标准,导致今日在图形方面有太多的格式,以下就是常见的几种格式:
首先是一种位图文件格式,它是一组点(像素)组成的图像,它们由图像程序生成或在扫描图像时创建。主要有Windows位图(.BMP):由Microsoft公司开发,它被Windows和Windows NT平台及许多应用程序支持。支持32位颜色,用于为Windows界面创建图标的资源文件格式,光标(.CUR、.DLL、.EXE):资源文件格式,用于创建Windows界面的光标。OS/2位图(.BMP):Microsoft公司和IBM开发的位图文件格式。它为各种操作系统和应用程序所支持。支持压缩,更大的图像像素为64000×64000。画笔(.PCX):由Zsoft公司推出,它对图像数据也进行了压缩,可由PCX生成。用于Windows的画笔。支持24位颜色,更大图像像素是64000×64000。支持压缩。图形交换格式(.GIF): ( Graphics Interchage format):由Compu Serve创建,它能以任意大小支持图画,通过压缩可节省存储空间,还能将多幅图画存在一个文件中。支持256色,更大图像像素是64000×64000。
Kodak Photo CD(.PCD):Eastman Kodak所开发的位图文件格式,被所有的平台所支持,PCD支持24位颜色,更大的图像像素是2048×3072,用于在CD-ROM上保存照片。
Adobe Photoshop(.PSD):Adobe Photoshop的位图文件格式,被Macintosh和MS Windows平台所支持,更大的图像像素是30000×30000,支持压缩,广泛用于商业艺术。
Macintosh绘画(.MAC):Apple公司所开发的位图文件格式。被Macintosh平台所支持,仅支持单色原图,更大图像像素是576×720。支持压缩,主要用于在Macintosh图形应用程序中保存黑白图形和剪贴画片。
动画文件的后缀名
动画文件格式用于保存包含动画框架中的图形信息。主要有:Autodesk FLIC(.FLC):即.FLI,Autodesk Animator和AnimatorPro的动画文件格式。支持256色,更大的图像像素是64000×64000,支持压缩。广泛用于动画图形中的动画序列、计算机辅助设计和计算机游戏应用程序。不大适合 *** 真实世界图像动画。
MacPICTS(.PCS,.PIC):Macromedia开发的动画文件格式,为Macintosh应用程序使用。支持256色,支持压缩,用于保存动画数据,是Quick Time的前身。
Microsoft资源互换文件格式,TIFF(.AVD):Microsoft公司开发的动画文件格式,被Windows、Windows NT平台和OS/2多媒体应用程序所支持,支持256色和压缩,用于在多媒体应用程序中保存音频、视频和图形信息。
MPEG(.MPEG):国际标准化组织的运动图像专家小组开发的动画文件格式。被所有平台和Xing Technologies MPEG播放器及其它应用程序所支持,支持压缩,更大图像像素是4095×4094×30帧/每秒。用于编码音频、视频、文本和图形数据。
Quick Time(.QTM):Apple计算机公司开发的动画文件格式。被Apple Macintosh和Microsoft Windows平台所支持,支持25位颜色,更大图像像素是64000×64000,支持压缩,用于保存音频和运动视频信息。
声音文件的后缀名
声音文件格式是用于保存数字音频信息的。它们主要有:
AIFF(.AIF):这是Apple计算机公司开发的声音文件格式,被Macintosh平台和应用程序所支持。支持压缩。
Amiga声音(.SVX):Commodore所开发的声音文件格式,被Amiga平台和应用程序所支持,不支持压缩。
MAC声音(.SND):Apple计算机公司开发的声音文件格式,被Macintosh平台和多种Macintosh应用程序所支持,支持某些压缩。
MIDI(.MID):国际MIDI协会开发的声音文件格式,被Windows平台和许多应用程序所支持,用于为乐器创建数字声音。
声霸(.VOC):Creative Labs公司开发的声音文件格式,被Windows和DOS平台所支持,支持压缩。
WAVE(.WAV):微软公司用作Windows平台上保存音频信息的资源格式。
压缩文件的后缀名
为了提高存储效率,许多公司都推出了压缩数据的 *** 和相应的软件,这类文件的使用主要通过压包和解包软件来进行,主要的后缀有:?arj、*.rar、*.lzh、*.jar。还有一些专用的压缩文件,如:*.ex_、*.dl_、*.d3_、*.cab等。
数据库类文件的后缀名
在Dbase、FoxBase、Foxpro系列软件的环境下有以下几类后缀:
.dbf 数据库文件(databasefile) .prg 命令文件(即程序Program)
.fxp 编译后的程序 .scx和.sct 屏幕文件
.fpt 备注字段文件 .frx和.frt 报表文件
.cbx和.pjt 标签文件 .mnx 和.mnt 菜单文件
.pjx和.pjt 工程文件 .app 应用文件
.cdx和.idx 索引文件 .qpr和.qpx SQL查询文件
.fp 配置文件 .ap 生成应用
.err 编译错误文件 .men 内存应用
.fky 键宏文件 .win 窗口文件
.pcb 库文件 .tmp 临时文件
.tbk 临时数据库文件
扩展名 文件类型 打开方式
.aiff 声音文件 Windows media Player
.!!! Netants 暂存文件 Netants
.ani 动画鼠标
.arj 压缩文件 ARJ
.avi 电影文件 Windows media Player
.awd 传真文档
.bak 备份文件
.bas Basic 语言 Basic
.bat DOS批处理文件
.bin MAC 二进制码文件 Stuffit Expander
.bmp 图象文件 画图/看图软件
.cab 压缩文件 Winzip
.cdr Corel图画文件 Corel Draw
.chk Scandisk检察后 *** 的文件 可以删掉
.com DOS命令文件 自执行
.cpx Cryptapix加密图片文件 Cryptapix
.cur 静态鼠标
.dbf 数据库文件 dBase, FoxBase, Access
.dll 应用程序扩展
.doc 文档文件 Word
.dwg AutoCAD文件 AutoCAD
.eps Illustrator 图画文件 Adobe Illustrator
.exe 执行文件 自执行
.fon 字体文件
.gb 国标码文件 南极星文字处理
.get Getright 暂存文件
.gif 256色图象文件 画图/看图软件
.gz 可供UNIX或LINUX使用的压缩文件 Winzip
.hqx Macintosh 文件 Stuffit Expander
.htm 网页 浏览器
.html 网页 浏览器
.ico 图标
.ini 配置设置 笔记本或WordPad
.ipx IPX演示文件 浏览器加装IPX 插件
.jiff 图象文件 画图/看图软件
.jpeg 压缩过的图象文件 画图/看图软件
.jpg 压缩过的图象文件 画图/看图软件
.js javascript
.lnk 快捷方式连接文件 连接文件的相应程序
.m3u Winamp播放列表 Winamp
.mid 声音文件 Windows media Player
.mov Quicktime影像文件 Quick Time
.mp3 压缩音乐文件 Winamp
.mpeg 影像 Windows media Player
.mpg 影像 Windows media Player
.njx 南极星文档 南极星文字处理
.pcb 电子电路图设计文件 Protel PCB
.pdf 便携式文档格式,内含图片文字等等 Adobe Acrobat, Adobe Acrobat Reader
.pm5 PageMaker 5 排版文件 Page Maker
.ppt Power Point 文件 Microsoft Power Point
.ps GhostScript
.psd Photoshop文件 Adobe Photoshop
.pub Publisher排版文件 Microsoft Publisher
.qt Quicktime影像文件 Quick Time
.ra Real Audio声音文件 Real Audio
.ram Real Audio影像文件 Real Audio
.rar 压缩文件 Winrar
.rsf Richwin 字体文件
.sch 电子原理图设计文件 Protel Schematic
.scr 屏保文件
.sea Macintosh 启动文件
.sit 压缩 Stuffit Expander
.swf Flas *** 文件 浏览器加装Macromedia flash 插件
.sys 系统文件
.tar UNIX压缩文件 Winzip
.tif 高质量图象文件 画图/看图软件
.tiff 高质量图象文件 画图/看图软件
.tmp 暂存文件 可以删掉
.ttf 字体文件
.txt 纯文本文件 笔记本或全部文字处理系统
.vbs Visual Basic 编程文件 Microsoft Viasual Basic
.viv VIVO影像文件 浏览器加装VIVO 插件
.vqf 压缩声音文件 Yamaha SoundVQ Player
.wav 未压缩的声音文件 Windows media Player
.wk1 Lotus 123 试算软件文件 Lotus 123, Excel
.wq1 Q-Pro 试算软件文件 Q-Pro, Excel
.wri Write文字文档 Word
.xls Excel 试算软件文件 Microsoft Excel
.Z UNIX压缩文件 Winzip
.zip 压缩文件 Winzip
图像文件:
bmp Windows or OS/2 Bitmap
clp Windows Clipboard
cup Dr. Halo
dib Windows or OS/2 DIB
emf Windows Enhanced Meta file
eps Encapsulated PostScript
fpx Flash Pix
gif Compuserver
iff Amiga
img GEM Paint
jpg JPEG - JFIF Compliant
lbm Deluxe Paint
mac Mac Paint
msp Macrosoft Paint
pbm Potable Bitmap
pct Macintosh Pict
pcx Zsoft Paintbrush
pic PC Paint
png Portable Network Graphics
ppm Portable Pixelmap
psd Photoshop
psp Paint Shop Pro Image
ras Sun Raster Image
raw Eaw File format
rle Windows or CompuServer RLE
sct SciTex Continuous Tone
tga Truevision Targa
tif Tagged Image file format
wmf Windows Meta File
wpg WordPefect Bitmap
我没有音频设备,我点sndvol32文件说的是这个,什么原因啊?
没有音频设备原因:
一.声卡没有固定牢固,或者声卡已经损坏
二.由病毒问题引起的, ,某些安全杀毒软件在查杀病毒的时候会把被病毒木马感染的系统文件当做病毒查杀,而不给与修复造成的,例如dsound文件。
三. 声卡驱动有关的程序被破坏或驱动程序安装失败。
四.音频设备服务被禁用。
没有音频设备解决办法:
一.检测一下声卡是否插好或者损坏,如果您不会操作,建议您拿到专业维修站去。
二.检查电脑是否中病毒木马,建议使用金山卫士进行木马查杀。
1、进入主界面进入【查杀木马】
2、然后点击【快速扫描】即可
三.如果声卡本身没有问题,看看设备管理器中有没有音频设备,以及声卡的驱动是否安装成功。
您可以试用金山 *** 最新产品【金山装机精灵】。
1.安装金山装机精灵后,点击 “装驱动” 右侧的【立即开始】
2.打开“装驱动”界面,装机精灵为您自动检测未安装的声卡驱动程序,点击“安装”;同时会检测已损坏的硬件驱动设备,点击“修复”,以确声音图标恢复过来;
四.可能是系统服务停止导致“没有音频设备”。
1. 点击桌面右下角开始,找到“运行”
2. 输入services.msc并回车,打开服务
3. 找到windows Audio服务,右键点击,查看属性
4. 将启动类型设置为“自动”,点击服务状态下面的“启动”按钮。
按照我的 *** 操作解决问题,不行再问我。
电脑有sndvol32.exe病毒,如何删除
强烈推荐使用木马清道夫来清除这个病毒。
注册码:F873-99823-5218-87H3
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀近10万种木马,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰!
calc,sndvol32 木马 跟外接硬碟疑问
【灰鸽子工作原理】
灰鸽子远程监控软件分两部分:客户端和服务端。黑客(姑且这么称呼吧)操纵着客户端,利用客户端配置生成出一个服务端程序服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过 *** 把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载……,这正违背了我们开发灰鸽子的目的,所以本文适用于那些让人非法安装灰鸽子服务端的用户,帮助用户删除灰鸽子 Vip 2005 的服务端程序。本文大部分内容摘自互联网。
G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如当定*务端文件名为A.exe时,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。
灰鸽子的手工检测
由于灰鸽子拦截了API调用,在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了"显示所有隐藏文件"也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。
但是,通过仔细观察我们发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以"_hook.dll"结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子 服务端。
由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的 *** 是:启动计算机,在系统进入Windows启动画面前,按下F8键(或者在启动计算机时按住Ctrl键不放),在出现的启动选项菜单中,选择"Safe Mode"或"安全模式"。
1、由于灰鸽子的文件本身具有隐藏属性,因此要设置Windows显示所有文件。打开"我的电脑",选择菜单"工具"-》"文件夹选项",点击"查看",取消"隐藏受保护的操作系统文件"前的对勾,并在"隐藏文件和文件夹"项中选择"显示所有文件和文件夹",然后点击"确定"。
2、打开Windows的"搜索文件",文件名称输入"_hook.dll",搜索位置选择Windows的安装目录(默认98/xp为C:\windows,2k/NT为C:\Winnt)。
3、经过搜索,我们在Windows目录(不包含子目录)下发现了一个名为Game_Hook.dll的文件
4、根据灰鸽子原理分析我们知道,如果Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。
经过这几步操作我们基本就可以确定这些文件是灰鸽子 服务端了,下面就可以进行手动清除。
灰鸽子的手工清除
经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。
注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
2000/XP系统:
1、打开注册表编辑器(点击"开始"-》"运行",输入"Regedit.exe",确定。),打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。
2、点击菜单"编辑"-》"查找","查找目标"输入"game.exe",点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
98/me系统:
在9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005 服务端已经被清除干净
本帖出自 黑客X档案官方论坛(www.HackerXFiles.NeT)
详文参考 http://bbs.hackerxfiles.net/thread-116401-1-1.html
参考资料:http://zz1.hn.download.8844.com/soft3/615/105/1480/v6835_HgzVip1.2.rar