中了wowexec.tmp病毒
几乎感染了所有EXE文件。网上已经有病毒下载,想玩的人可以虚拟机试一下,不怕的就真机测试吧。
之前网上查据说GHO文件也会被感染,今天看见个帖说,主要是ghost.exe被感染了,启动时又被代入,所以要把GHOST.EXE在DOS下换掉再开始from image.
感谢伟大的以身试毒不幸被迫格式化的小莉姐姐。另外现在看下来,卡卡论坛关于这个病毒的帖子较全,转载如下:
--------------------------------------------------------------------
论坛首页 > 技术交流区 > 反病毒论坛 > 我暂时摆脱了wowexec.tmp病毒。方法介绍
楼主
绿林小匪
注册:2006-12-19
我每次中毒,对于麻烦的都不怎么去杀,而是直接格式化C盘D盘。
我C盘是98 D盘2.5G是2000,容量都很小(C盘1.3GD盘2.5G,我使用的是2000系统,我E盘放网络上down的东西,GH盘是最宝贵的盘放着多年来搜集的歌曲视频图片软件游戏驱动系统备份等,F盘供安装应用程序的,除了系统默认的必须安到系统盘的其他所有东西都安到F盘)
这次中病毒后,我直接格式化C、D盘,然后ghost,进去后再安装一些常用的软件。发现病毒依旧,再次ghost后,还是这样,多次后发现一运行一些.exe程序后,硬盘就活动,D盘就暴长,最后发现了wowexec.tmp。根根网上其他帖子的谈论,判定这个就是病毒根源。
winzheng的那个“小莉姐姐”情况和我一样,她决心把硬盘全部格了,今天她没留言,不知她搞定了没有。
http://bbs.winzheng.com/redirect.php?tid=1217530&goto=newpost
我都不用杀毒软件的,一般上网也很小心,这次,我下载了瑞星新版和卡巴斯基6.0,瑞星安装后居然抵不过病毒多次机器莫名重启,无奈又ghost一把,然后安装卡巴斯基,升级病毒库(最新的是今天早晨的),再安装winrar之后,卡巴报了wowexec.tmp。每运行感染的.exe文件,卡巴就报,选择处理后,卡巴直接删除.exe文件。病毒还是没解决。
再搜索帖子时,看到某个网友说把temp下的wowexec.tmp删除,建立一个记事本,重新命名为wowexec.tmp,设置为只读属性。这样temp就不会变大了。 我结束进程里的wowexec.tmp,然后试试,果然temp不再变化了,可每次运行感染了病毒的.exe程序,卡巴还是报然后删。
我目前暂时摆脱了病毒的困扰。
这个垃圾病毒这几天把我折磨坏了。
我用的方法:
====================================
图片地址:http://xs410.xs.to/xs410/06512/001.jpg
我不清楚它是不是BIOS病毒,不敢说完全解决问题。至少这2个小时没再出问题了。
经过多次摸索,我有格式化了C盘D盘了。把BIOS也清了。然后重新ghost系统。
弄好新的系统,打开Windows Media Player,选择“打开”--“浏览”,文件类型选择“*.*”,然后各个盘挨个文件夹的看,把有类似于上图的“有快捷方式而没图标”的文件都删除。打开回收站,原来在回收站里看到的也是这个样子,清空回收站。看来被此病毒感染的文件,通过此方法看时都显示出快捷方式的样子。全部删除后,再没出现过wowexec.tmp病毒了。
真希望就此太平。
====================================
反正我就是这样解决的,目前是没问题了,等着以后出专杀工具,再来个全面查杀吧。
第2楼
zuliyeah
我16号就中了这个病毒
没办法在google、baidu上搜解决办法
当时一条都没有
过了三天了
问题还没解决掉
不过google上搜到的求助帖是越来越多了
不过也没什么好的解决办法
卡巴还好
还能报个病毒名字
虽然是直接删除EXE文件
我肉痛啊
瑞星就别提了
还正版的
杀了几十遍连个鸟毛都没杀出来
第3楼
Solidus
你就格式化了C,D,ghost之后确保没有运行被病毒感染的.exe文件么?如果你确定的话这问题就奇怪了,难道连你的gho文件也感染了??
第4楼
baohe
引用:
【Solidus的贴子】你就格式化了C,D,ghost之后确保没有运行被病毒感染的.exe文件么?如果你确定的话这问题就奇怪了,难道连你的gho文件也感染了??
………………
GHO文件不会被感染。
但是,GHOST.EXE和ghostExp.exe都会被感染。
GHOST恢复系统时...........
明白?
楼主应该先找一个干净的GHOST.EXE在DOS下替换原先的GHOST.EXE,然后,再执行GHOST备份恢复。
第5楼
Solidus
这样就好,继续等待能修复EXE文件的杀毒工具~~
第6楼
阿土土哥
========Content========
我前几天也中了这个毒。
我的解决方法是:
首先停止“wowexec.exe”进程
同时删除在“C:\Documents and Settings\Administrator\Local Settings\Temp\”文件夹里的所有文件。
查看被感染的exe文件,看看修改的日期,然后全盘搜索相应日期的exe文件并删除,一般能解决
实在不行,在上一步骤后,重装系统,就不会有这个病毒了。
但是那些exe文件要重新安装,麻烦。
——————————
我的分析:
这个病毒也是下载到temp文件夹并运行的,我查看了相关的文件,这几个比较有嫌疑:wowexec.tmp tsepuehu.dll svsktv.exe
其中tsepuehu.dll这个文件在我被感染时我的木马防火墙一直提醒我:
“实时监控发现木马病毒或广告间谍程序[2006-12-16|下午 11:44:15]
C:\Documents and Settings\Administrator\Local Settings\Temp\tsepuehu.dll ”
防火墙一直试图删除这个文件,但没有成功。
同时还提醒我系统目录下有新文件建立:
“windows目录有新文件建立[2006-12-16|下午 11:46:53]
C:\WINDOWS\system32\xuhuan.ini”
““windows目录有新文件建立[2006-12-16|下午 11:46:53]
C:\WINDOWS\system32\xuhuan.tmp”
这2个文件同样一直建立,不能删除。但后来(应该是重启后)查看时,发现该文件s已经删除。
我查看了一下tsepuehu.dll ,里面有这个网址:“http://www.dosboy.com/dos.exe” 可能跟这个有关。我下载了该dos.exe,发现这个文件与前面所提到的那个“svsktv.exe”文件完全一样。
在temp文件夹中于这几个wowexec.tmp tsepuehu.dll 文件件同一时刻建立了好多无后缀名文件如“cDXQMdsY”“WJvZump”等,绝大多数文件的大小为812k,同时内容一致。
希望能早点出专杀工具
第7楼
阿土土哥
引用:
【绿林小匪的贴子】我用的方法:
====================================
图片地址:http://xs410.xs.to/xs410/06512/001.jpg
我不清楚它是不是BIOS病毒,不敢说完全解决问题。至少这2个小时没再出问题了。
经过多次摸索,我有格式化了C盘D盘了。把BIOS也清了。然后重新ghost系统。
弄好新的系统,打开Windows Media Player,选择“打开”--“浏览”,文件类型选择“*.*”,然后各个盘挨个文件夹的看,把有类似于上图的“有快捷方式而没图标”的文件都删除。打开回收站,原来在回收站里看到的也是这个样子,清空回收站。看来被此病毒感染的文件,通过此方法看时都显示出快捷方式的样子。全部删除后,再没出现过wowexec.tmp病毒了。
………………
-----------------强力引用分割线-----------------
其实你在浏览文件夹时用 “详细信息”方式查看就可以看到那些“有快捷方式而没图标”的文件了。
|
Undine  发表文章数: 202
|
 我们走的是两条路,没有什么好嫉妒:)
|
||
|
Undine 发表文章数: 202
|
不知道各位有没有 可以不删除EXE的方法?
我们走的是两条路,没有什么好嫉妒:)
|
||
|
CoolingRib  发表文章数: 227
|
上个礼拜家里两台电脑相继中毒,该病毒能修改BIOS时钟,让杀毒软件失效。后来上网查找发现中的是“橙色八月”,不过肯定是某种变种或者混合。几种常见的病毒特征都有,比如进程里的:iexpl0er,svch0st,windows升级程序wuauclt也被感染,病毒能自动上网升级,自动打开IE,运行一些网页上的控件,norton,macfee都对它没招。后来下载了“橙色八月”的提取工具,也收效甚微。
最“恐怖”的是:每当我要在任务管理器杀掉几个病毒进程时,鼠标会自动在屏幕上乱跑,就像有人在和你较劲。 最后只能用msconfig重启并取消一切可能有问题的启动项和系统服务,删除各等temp下的东西,然后用注册表扫描工具,比如HIjackthis,超级兔子,清理注册表。几次下来,病毒依然存在,但是似乎没有活动能力了。 我突然想到,如果病毒能够感染或者取代诸如:msconfig,regedit,之类的咚咚,岂不是很恐怖? 另外,和搂主的病毒一样,这些东西都像是设计用来盗取密码帐号之类东西的
|