lyne1019
新手上路
积分 7
发帖 7
注册 2007-3-31
|
#1 空格空格wowexec.exe是什么东东?貌似伪装系统进程
寒假时回家,老妈告诉我家里电脑中毒好久了,我开机一看,到处是熊猫。在网上找专杀,装系统,折腾了好久。也就是在那个时候知道微点的。谁知道同时感染的还有维金和Bills,各个分区里都有一个PIF.exe,还有autorun,当时不知道怎么回事,双击访问磁盘,中招了...
PIF.exe把自己伪装成和system volume information , Recycle一样的系统文件隐藏起来,后来又是一顿查杀,装系统,又折腾了好久...
开学来学校了,因为要做设计,就安装了移动硬盘上的SQL Server,结果又中招了...
前两天下了方格子杀啊杀啊,Bills弄干净了,谁知道进程里边“ wowexec.exe”冒出来了,前面两个空格的哦,任务管理器里没有PID,没有内存使用率,貌似taskmgr也被感染了,显示进程执行路径的复选项没有了,微点也没有任何反应
今天还没有在网络上找到一个切实的说法描述它到底是什么病毒/木马
刚才在这里看到有网友上图,确实taskmgr被感染了:
http://forum.ikaka.com/topic.asp?board=28&artid=8123215
[ Last edited by lyne1019 on 2007-3-31 at 09:46 ]
| |
※ ※ ※ 本文纯属【lyne1019】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-3-31 09:44 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-3-31 09:53 |
|
lyne1019
新手上路
积分 7
发帖 7
注册 2007-3-31
|
#3
今天在网吧,改天我把“ wowexec.exe”给你拷U盘上发过去。
忘记说了,我是没有网络环境的。一开始只是感染PIF.exe,后来陆陆续续感染了维金,csrss.exe,空格空格wowexec.exe还有其他一些病毒。感觉PIF.exe把它们捆绑在一起了,它是母体。可是PIF.exe被我杀干净了,本来留有一个样本,害怕什么时候不小心被调用激活了后患无穷(我的机器有100多G的资料跟工具),就删了
| |
※ ※ ※ 本文纯属【lyne1019】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-31 10:31 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-3-31 10:33 |
|
lyne1019
新手上路
积分 7
发帖 7
注册 2007-3-31
|
#5
OK~
| |
※ ※ ※ 本文纯属【lyne1019】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-31 10:50 |
|
xxxyyy
新手上路
积分 31
发帖 31
注册 2007-2-11
|
#6
wowexec - wowexec.exe - 进程信息
进程文件: wowexec or wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类似,为了兼容16位应用程序。
常见错误: N/A
是否为系统进程: 否
| |
※ ※ ※ 本文纯属【xxxyyy】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-3-31 13:42 |
|
lyne1019
新手上路
积分 7
发帖 7
注册 2007-3-31
|
#7
| Quote: | Originally posted by xxxyyy at 2007-3-31 13:42:
wowexec - wowexec.exe - 进程信息
进程文件: wowexec or wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类似,为了兼容16 ... |
|
我说了这个wowexec.exe前面是有两个空格的哦,文件名不一样好不好?
PS:Legend老大对不住...我用大蜘蛛扫出来好多感染文件,没办法重装系统了
下次中招,一定先采集样本
| |
※ ※ ※ 本文纯属【lyne1019】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-4-1 14:51 |
|
微点放大是焦点
高级用户
积分 783
发帖 765
注册 2007-2-10
来自 广州
|
#8
这个进程看名字就知道是盗取魔兽世界(WOW)的游戏账号的木马了.
.
| |
※ ※ ※ 本文纯属【微点放大是焦点】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。 |
|
|
|
2007-4-2 16:20 |
|
微点放大是焦点
高级用户
积分 783
发帖 765
注册 2007-2-10
来自 广州
|
#9
进程文件: wowexec 或者 wowexec.exe
进程名称: Microsoft Windows On Windows Execution Process
描述:
wowexec.exe是操作系统相关程序,用于支持16位进程。
出品者: Microsoft Corp.
属于: Microsoft Windows On Windows Execution Process
系统进程: 是
后台程序: 否
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
原来我也判断错了...是个正常的进程.
| |
※ ※ ※ 本文纯属【微点放大是焦点】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
天将降大任于是微点,必先苦其老总,劳其同事,饿其用户,空乏资金,官司乱其所为,所以动心忍性,销售其所不能。 |
|
|
|
2007-4-2 16:22 |
|
