瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】中了一个比威金还厉害的病毒，在temp目录里有这个wowexec.tmp文件

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«5 6 789 10 11 12

8 / 12 页

跳转页

【求助】中了一个比威金还厉害的病毒，在temp目录里有这个wowexec.tmp文件

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-19 16:18 | 短消息资料

字号：小中大 71楼

引用:

【Solidus的贴子】谢谢版主,那请问我们被感染的.exe文件还有的救么？
………………

不太清楚。
我是今天收到这个被感染程序样本的。
本来想玩儿玩儿它，但是这东东很倔强！
如果允许它加载那个驱动，系统立即崩溃，蓝屏重启；如果不允许它加载那个驱动，则样本无法继续运行。
我的系统中的.exe文件未受感染（因为样本根本就没能完整运行）。
很晕！

Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:	发表于： 2006-12-19 16:21 \| 短消息资料字号：小中大 72楼多谢版主，请您继续努力努力，我这点文件就靠您了，呵呵
Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-19 16:23 | 短消息资料

字号：小中大 73楼

引用:

【Solidus的贴子】多谢版主，请您继续努力努力，我这点文件就靠您了，呵呵
………………

它不跟我玩儿。汗死！！

以下是运行样本时SSM的监控日志：

已允许 2006-12-19 14:29:14 进程 C:\WINDOWS\system32\svchost.exe
操作打开线程
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序活动已允许 2006-12-19 14:29:14 进程 C:\WINDOWS\system32\svchost.exe
操作打开线程
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:13 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:12 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:10 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:09 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:09 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:08 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

通知 2006-12-19 14:29:07 通知程序关闭
默认规则 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:07 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序活动已允许 2006-12-19 14:29:07 进程 C:\WINDOWS\system32\svchost.exe
操作打开线程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序活动已允许 2006-12-19 14:29:07 进程 C:\WINDOWS\system32\svchost.exe
操作打开线程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:06 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:05 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:04 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:03 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:02 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:29:02 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:29:00 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:59 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:28:58 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:57 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe

程序
活动
对话
已允许 2006-12-19 14:28:56 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:53 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作创建进程
对象 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
命令行 "C:\Documents and Settings\baohelin\桌面\MediaSups.exe"

程序
活动
对话
已允许 2006-12-19 14:28:50 进程 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
操作创建进程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
命令行 "C:\DOCUME~1\baohelin\LOCALS~1\Temp\wowexec.tmp"

模块报警
ModuleServices
已允许 2006-12-19 14:28:33 对象路径 MicroSoft Media Services
对象名称 MicroSoft Media Services
操作添加
新的值已停止
先前值

程序
活动
对话
已阻止
2006-12-19 14:28:28 进程 C:\WINDOWS\system32\services.exe
操作加载驱动
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\WyWhsDos.sys

程序
活动
对话
已允许 2006-12-19 14:28:23 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:22 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:21 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:19 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作写入虚拟内存
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:17 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:15 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作更改内存属性
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp

程序
活动
对话
已允许 2006-12-19 14:28:09 进程 C:\Documents and Settings\baohelin\桌面\MediaSups.exe
操作创建进程
对象 C:\Documents and Settings\baohelin\Local Settings\Temp\wowexec.tmp
命令行 "C:\DOCUME~1\baohelin\LOCALS~1\Temp\wowexec.tmp"

Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:	发表于： 2006-12-19 16:25 \| 短消息资料字号：小中大 74楼 MediaSups.exe好像也是这病毒生成的吧？没别的样本了么？
Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-19 16:27 | 短消息资料

字号：小中大 75楼

引用:

【Solidus的贴子】MediaSups.exe好像也是这病毒生成的吧？没别的样本了么？
………………

MediaSups.exe是病毒感染过的一个程序。我只有这一个样本，还是别人给的。

Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:	发表于： 2006-12-19 16:32 \| 短消息资料字号：小中大 76楼是这样的，这个Mediasups也是那个temp目录里的，据我所见和那个wowexec.tmp属于同时出现，请问如何给你被感染的文件？
Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-19 16:40 | 短消息资料

字号：小中大 77楼

引用:

【Solidus的贴子】是这样的，这个Mediasups也是那个temp目录里的，据我所见和那个wowexec.tmp属于同时出现，请问如何给你被感染的文件？
………………

我的邮箱：baohelin@yahoo.com.cn

以下是Mediasups的多引擎扫描结果。看来。大蜘蛛报蠕虫是对的。

附件:

文件名:15584720061219163111.jpg

下载次数:139

文件类型:image/pjpeg

文件大小:

上传时间:2006-12-19 16:40:06

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:	发表于： 2006-12-19 16:50 \| 短消息资料字号：小中大 78楼已发送过去，请查收，一个被感染的memset软件，可独立运行
Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:

Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:	发表于： 2006-12-19 16:51 \| 短消息资料字号：小中大 79楼恩，我已经压缩成rar格式了，请解压
Solidus 初生襁褓狮帖子:36 注册: 2006-12-18 来自:

lhyst 初生襁褓狮帖子:5 注册: 2005-07-24 来自:	发表于： 2006-12-19 16:56 \| 短消息资料字号：小中大 80楼我想我大概也是中了和大家一样的毒,大部分的EXE和RAR都被破坏,刚装的QQ只要一重启也立马完蛋,重装XP也没用.瑞星也杀查不出.
lhyst 初生襁褓狮帖子:5 注册: 2005-07-24 来自:

<<上一主题|下一主题>>

«5 6 789 10 11 12

8 / 12 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】中了一个比威金还厉害的病毒，在temp目录里有这个wowexec.tmp文件

【求助】中了一个比威金还厉害的病毒，在temp目录里有这个wowexec.tmp文件

附件:

文件名:15584720061219163111.jpg 下载次数:139 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(316049); 上传时间:2006-12-19 16:40:06 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】中了一个比威金还厉害的病毒，在temp目录里有这个wowexec.tmp文件

文件名:15584720061219163111.jpg

下载次数:139

文件类型:image/pjpeg

文件大小:

上传时间:2006-12-19 16:40:06

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01