瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【求助】中了一个比威金还厉害的病毒,在temp目录里有这个wowexec.tmp文件
syaaa - 2006-12-19 14:40:00
我没装卡巴,把几个常用的软件重新装了一下,
上次杀威金时就不小心让瑞星选择删除病毒文件,这次不能再删除可执行文件了,重新装来费时费力。
Solidus - 2006-12-19 15:26:00
那就多等等吧,应该会有解决方案的
酷VS酷 - 2006-12-19 15:48:00
大家也可以试一下用卡巴斯基杀一下,我有过这种经历,后来用卡巴解决
http://www.siweirs.cn/bbs/ShowForum.asp?forumid=109
Solidus - 2006-12-19 15:54:00
多谢楼上的,不过卡巴能查,但是不能从被感染的文件中清除病毒,这个是我们几个所需要的,呵呵
baohe - 2006-12-19 15:58:00
引用:
【syaaa的贴子】瑞星查了几遍,都查不出来呀!!!!!!!!!!!
一运行可执行文件,这个病毒就冒出来了,可以关掉他的系统进程,
但是,再运行可执行文件,他又冒出来了,我查看了一下
所有可执行文件全部被感染了。怎么办呀???????????
………………



附件: 15584720061219155002.jpg
飞翔宇 - 2006-12-19 16:04:00
我也中了这个病毒?
自动运行Winexec.tmp 和 IExplore.exe进程,可以手工结束。
但是随便运行某个应用程序,就自动运行上述两个进程。
使用瑞星防火墙里的系统状态,发现IExplore.exe偷偷访问 http://www.dosboy.com/wm.htm网站。

谁告诉我如何解决。
baohe - 2006-12-19 16:04:00
这是它的驱动项

附件: 15584720061219155532.jpg
Solidus - 2006-12-19 16:10:00
谢谢版主,那请问我们被感染的.exe文件还有的救么?
afkp4e7 - 2006-12-19 16:10:00
他的日志里没这个服务
有隐藏的么
飞翔宇 - 2006-12-19 16:18:00
看来中该病毒不止我一个人,我是在17号凌星上网时中了该病毒。
好多个程序都不能运行,只好重装一遍了。
baohe - 2006-12-19 16:18:00
引用:
【Solidus的贴子】谢谢版主,那请问我们被感染的.exe文件还有的救么?
………………

不太清楚。
我是今天收到这个被感染程序样本的。
本来想玩儿玩儿它,但是这东东很倔强!
如果允许它加载那个驱动,系统立即崩溃,蓝屏重启;如果不允许它加载那个驱动,则样本无法继续运行。
我的系统中的.exe文件未受感染(因为样本根本就没能完整运行)。
很晕!
Solidus - 2006-12-19 16:21:00
多谢版主,请您继续努力努力,我这点文件就靠您了,呵呵
baohe - 2006-12-19 16:23:00
引用:
【Solidus的贴子】多谢版主,请您继续努力努力,我这点文件就靠您了,呵呵
………………

它不跟我玩儿。汗死!!

以下是运行样本时SSM的监控日志:

已允许 2006-12-19 14:29:14 进程 C:\WINDOWS\system32\svchost.exe
操作 打开线程
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序活动 已允许 2006-12-19 14:29:14 进程 C:\WINDOWS\system32\svchost.exe
操作 打开线程
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:13 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:12 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:10 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:09 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:09 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:08 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

通知  2006-12-19 14:29:07 通知 程序关闭
默认规则 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:07 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序活动 已允许 2006-12-19 14:29:07 进程 C:\WINDOWS\system32\svchost.exe
操作 打开线程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序活动 已允许 2006-12-19 14:29:07 进程 C:\WINDOWS\system32\svchost.exe
操作 打开线程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:06 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:05 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:04 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:03 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:02 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:02 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:00 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:59 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:28:58 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:57 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:28:56 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:53 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 创建进程
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
命令行 "C:\Documents and Settings\baohelin\桌面\MediaSups.exe"

程序
活动
对话
已允许 2006-12-19 14:28:50 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作 创建进程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
命令行 "C:\DOCUME~1\baohelin\LOCALS~1\Temp\wowexec.tmp"

模块报警
ModuleServices
已允许 2006-12-19 14:28:33 对象路径 MicroSoft Media Services
对象名称 MicroSoft Media Services
操作 添加
新的值 已停止
先前值 

程序
活动
对话
已阻止
2006-12-19 14:28:28 进程 C:\WINDOWS\system32\services.exe
操作 加载驱动
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\WyWhsDos.sys

程序
活动
对话
已允许 2006-12-19 14:28:23 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:22 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:21 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:19 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:17 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:15 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:09 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作 创建进程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
命令行 "C:\DOCUME~1\baohelin\LOCALS~1\Temp\wowexec.tmp"
Solidus - 2006-12-19 16:25:00
MediaSups.exe好像也是这病毒生成的吧?没别的样本了么?
baohe - 2006-12-19 16:27:00
引用:
【Solidus的贴子】MediaSups.exe好像也是这病毒生成的吧?没别的样本了么?
………………

MediaSups.exe是病毒感染过的一个程序。我只有这一个样本,还是别人给的。
Solidus - 2006-12-19 16:32:00
是这样的,这个Mediasups也是那个temp目录里的,据我所见和那个wowexec.tmp属于同时出现,请问如何给你被感染的文件?
baohe - 2006-12-19 16:40:00
引用:
【Solidus的贴子】是这样的,这个Mediasups也是那个temp目录里的,据我所见和那个wowexec.tmp属于同时出现,请问如何给你被感染的文件?
………………

我的邮箱:baohelin@yahoo.com.cn

以下是Mediasups的多引擎扫描结果。看来。大蜘蛛报蠕虫是对的。

附件: 15584720061219163111.jpg
Solidus - 2006-12-19 16:50:00
已发送过去,请查收,一个被感染的memset软件,可独立运行
Solidus - 2006-12-19 16:51:00
恩,我已经压缩成rar格式了,请解压
lhyst - 2006-12-19 16:56:00
我想我大概也是中了和大家一样的毒,大部分的EXE和RAR都被破坏,刚装的QQ只要一重启也立马完蛋,重装XP也没用.瑞星也杀查不出.
lhyst - 2006-12-19 17:01:00
对了,大家中毒以后图标有没有受影响?我中毒后大部的图都变成了一个小小的箭头,重装程序把新图标放在快速启动那里也自动变成小前头.
Solidus - 2006-12-19 17:04:00
TO:LS

咱中的可能不是一个毒,我印象vking才更改图标呢?你的进程中有wowexec.tmp这个进程么?
lhyst - 2006-12-19 17:10:00
有呀.确实是有wowexec.tmp这个进程.在Temp文件夹中也wowexec.tmp而且删不了.
Solidus - 2006-12-19 17:11:00
把rar文件也破坏了??
lhyst - 2006-12-19 17:13:00
哦.应该是把RAR的主程序破坏了.只要重装RAR就可行.
Solidus - 2006-12-19 17:16:00
这还差不多,要是连rar文件都破坏了我损失就大了,我的到没发现破坏图标,弄不好你不光中这个了还中其他的了,赶紧查查吧
laoiuo - 2006-12-19 18:36:00
我的也破坏图标,所以我一开始还以为是威金呢,害我走了不少弯路,不过现在解决了
lhyst - 2006-12-19 18:42:00
laoiuo 怎么解决的呀?晕!
Solidus - 2006-12-19 19:58:00
引用:
【laoiuo的贴子】我的也破坏图标,所以我一开始还以为是威金呢,害我走了不少弯路,不过现在解决了
………………



怎么搞定的说说阿,别走啊~~
baohe - 2006-12-19 20:10:00
引用:
【Solidus的贴子】已发送过去,请查收,一个被感染的memset软件,可独立运行
………………

下载了,运行了。
还是那幅德行!
就是不能让它的.sys加载,加载就兰屏重启。
不让那个.sys加载,处理起来很容易:
用IceSword强制删%Temp%中的所有文件即可。
观察到感染系统分区以外的.exe动作(被Tiny禁止了)。
系统分区的.exe(如我的工具autoruns),只有用户点击运行时才被感染。

卡巴斯基报: Trojan-DDos.Win32.Agent.p

不幸的是————卡巴斯基将受感染的.exe毫不留情的删除了(而不是清除其中的病毒代码)。
1234
查看完整版本: 【求助】中了一个比威金还厉害的病毒,在temp目录里有这个wowexec.tmp文件
© 2000 - 2026 Rising Corp. Ltd.