|
 | 作者: BBL [bbl]
 论坛用户 |
登录 |
| 最近我发现一个名为womexec的程序(不知是否病毒),这个程序随着系统启动,并附加到其他启动程序的进程里(名为womexec),我装的是瑞星,它则附加在CCENTER这个进程里,当我把名为womexec的附加进程终止后,这个进程则自动附加到soundman这个声音的进程里,到此进程存在时,CPU的占用率是100%,当终止完他时(要连续终止),CPU的占用率返回到平常的状态,当我在WINDOWS\SYSTEM32目录找到它时,把它删了,一刷新这个womexec.exe这个程序又回来了.用瑞星又杀不掉,到重装了金山毒霸2005后,在装的过程会发现内存中有木马病毒(但它说要重启进行全面检测杀毒才能杀它),但当装完重启后,杀毒则不再提示有病毒,而且这个womexec.exe又附加到了kav金山毒霸这个启动进程里面了,请太家帮我讲解一下如何杀这个病毒,它的原理是怎样的,它是属于哪类型的,最主要还是帮我把它杀掉的方法告诉我....... |
| 地主 发表时间: 05-04-02 21:50 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
|
进安全模式查杀,或用瑞星的纯DOS版查杀 |
| B1层 发表时间: 05-04-03 01:53 |
| 回复: BBL [bbl] 论坛用户 |
登录 |
|
由于时间关系,我所以没在安全模式杀,现机在客户那里,能讲一下原理吗?手工查杀过程有没有. |
| B2层 发表时间: 05-04-03 23:42 |
 | 回复: rshu [rshu] 论坛用户 |
登录 |
|
请Q哥指教下,这个进程是做什么的,我也碰到过 |
| B3层 发表时间: 05-04-10 11:35 |
 | 回复: wxngzybb [wxngzybb]  论坛用户 |
登录 |
|
这是个内存驻留病毒,所以才会在你把它的主文件删除了后再创建,因为它再不断的测试它的主文件是不是被删除. 1这个病毒看来只是个应用级的,所以请首先关闭所有应用程序,包括杀毒软件 2然后打开msconfig,配置系统启动文件,查看system.ini [boot]下的shell=项目,看是不是womexec,如果是必须该成Explorer.exe这是桌面浏览器.然后打开win.ini,查看[windows]下的load=和run=,如果等于womexec,就删除这个值.然后看"启动",如果有womexec.exe.的字样的同样删除 3如果你不熟悉注册表,可以打开注册表编辑器regedit.eze.查找所有包含womexec键值,删除它们 记住不要打开任何程序 重启系统 |
| B4层 发表时间: 05-04-11 00:28 |
| 回复: wxngzybb [wxngzybb] 论坛用户 |
登录 |
|
还有,它之所以能附着在其他进程里,这只不过是你的感觉.用户进程在win的保护机制下是不能相互访问内存的.如果真的是附着在进程里,只能是一个线程形势存在.如果你说的附加是想说它是一个进程的子线程的话,那么这个问题就很大了,它已经感染了你的所有宿主进程,原理就是把自己复制到宿主进程里,首先运行它,然后再运行你的被感染程序.被感染的程序的执行文件已经被改变了,需要专门的工具才可以恢复.但愿不是这种情况 |
| B5层 发表时间: 05-04-11 00:35 |
| 回复: wxngzybb [wxngzybb] 论坛用户 |
登录 |
|
一定还有个后台服务病毒 建议:重起后进入dos环境杀毒一次 |
| B6层 发表时间: 05-04-11 00:49 |
| 回复: wxngzybb [wxngzybb] 论坛用户 |
登录 |
|
很可能有一个和womexec不同名的隐藏服务,及其执行文件存在,找到那个隐藏的执行文件 |
| B7层 发表时间: 05-04-11 02:21 |
 | 回复: mary566 [mary566]  论坛用户 |
登录 |
|
重装系统后马上装杀毒软件 ,不是很简单的事吗? |
| B8层 发表时间: 05-04-12 12:59 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: womexec是病毒程序来的吗,我怎么也杀不掉呀?