瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 发现可疑进程,这些是病毒进程吗?
疾風のしずく - 2011-1-15 17:17:00
这三个进程偶尔会出现,没有特定开启哪个程序时出现,前面都有两个半角空格,不是正常进程,我每次看它们出现,都手动结束进程,不知道是不是病毒呢?

特来问问大家!谢谢!

下面是截图:



用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
哥们郁闷啊 - 2011-1-15 17:46:00
没见过,很异常!看看是哪个软件的程序
℡_ㄨ序幕 - 2011-1-24 10:29:00
应该不是病毒、、我差了下那几个进程名、、都是为了支持16位dos的、、而且也是前面有空格、如果是是子进程、也不会显示内存使用等信息、、那三个进程应该是plugin_contain...的子进程、、:kaka12:
废土游民 - 2011-1-24 13:05:00
为什么我查出空格空格wowexec.exe是病毒呢? 网上也是众说纷纭,只有两个网站提到其为病毒,现摘录如下并呼唤专业人士解答

以下摘自咖啡时间(3ctimen.cn)

wowexec 或者 wowexec.exe是系统进程,但wowexec.exe病毒前面多了空格,最新QQ.Email蠕虫,Email-Worm.Win32.VB.acuugm病毒,使用AGB4来清除。清除步骤如下:

近两日,众多QQ用户经常接到别人发来的QQ邮件,请小心不要打开查看,以免中木马。该蠕虫使用文本图标和.txt.exe扩展名伪装自身,诱导用户执行蠕虫体。

空格wowexec.exe病毒分析:

1、 wowexec.exe病毒运行后,会弹出一个文件格式无效的对话框,迷惑用户,并将自身拷贝到系统目录%system%为:C:\WINDOWS\system32\Inetdbs.exe 文件属性为:RHS 同时将自身加入到系统注册表启动项目:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名:Inet DataBase 键名:"C:\WINDOWS\System32\Inetdbs.exe"

2、然后蠕虫会到:h t t p://www.vvv.com/image/new.jpg下载一个139.264字节的new.jpg文件,此文件为PE格式,使用PEncrypt 3.1 Final加壳,实际为Backdoor.PowerSpider.a,即国内流传的密码解霸。

3、将下载的new.jpg改名为~DF41F8.EXE并执行。执行后释放将自身拷贝到系统目录:
拷贝文件为:
C:\WINDOWS\system32\mstext32.dll 7KB
C:\WINDOWS\system32\wowexec.exe 140KB
其中mstext32.dll是RiskWare.PSWTool.Finder.a,一个用来进行hook 查找密码的dll库。

并增加注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键名:MSIEXEC 键值:"wowexec.exe"
该木马还会在注册表中增加如下键值,用来存储自身设置:
HKEY_CLASSES_ROOT\ZPwd_box
HKEY_CLASSES_ROOT\ZPwd_box tmUpgrade_p dword:41bfabb0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ZPwd_box tmUpgrade_p dword:41bfabb0

4、wowexec.exe 会访问编号为:163com[20030606]、IP:202.108.44.153的163信箱,获取升级信息。

端口:110
用户wdboxup
密码:shengjile

密码解霸是危害比较大的木马,可以获取各种及时通讯软件、EMAIL、网络游戏、网络银行、IE中输入的各种密码等。

5、在重启动后Inetdbs.exe会被运行,运行后会下载http://www.vvv.com/b.wav文件,该文件为一zip包裹,为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来作为发送邮件的备用附件。
还会到http://freehost23.vvv.com/wpzkq/MSWINSCK.OCX控件保存到%system%目录下,确保在某些系统上能够正确发送EMAIL,该控件为VB 网络支持库。
同时会将该控件在注册表的MSWinsock.Winsock和Classid进行注册。

以下摘自中国易修网

  wowexec.exe是一个系统进程,但是如果前面带一个空格,比如“ wowexec.exe”就是病毒进程了。

  wowexec.exe病毒分析:

  警惕最新qq.email蠕虫

  病毒名称:email-worm.win32.vb.ac

  文件大小:13.279k

  编写语言:microsoft visual basic

  壳类型:upx-scrambler rc1.x ->

  近两日,众多qq用户经常接到别人发来的qq邮件,请小心不要打开查看,以免中木马。

  该蠕虫使用文本图标和。txt.exe扩展名伪装自身,诱导用户执行蠕虫体。 wowexec.exe 会访问编号为:163com[20030606]、ip:202.108.44.153的163信箱,获取升级信息。端口:110

  用户wdboxup

  密码:shengjile 密码解霸是危害比较大的木马,可以获取各种及时通讯软件、email、网络游戏、网络银行、ie中输入的各种密码等并增加注册表启动项:

  hkey_local_machine\software\microsoft\windows\currentversion\run

  键名:msiexec 键值:“ wowexec.exe”

  该木马还会在注册表中增加如下键值,用来存储自身设置:

  hkey_classes_root\zpwd_box

  hkey_classes_root\zpwd_box tmupgrade_p dword:41bfabb0

  hkey_local_machine\software\classes\zpwd_box

  hkey_local_machine\software\classes\zpwd_box tmupgrade_p dword:41bfabb0

  wowexec.exe病毒清除办法:

  1、删除病毒的注册表键值,hkey_local_machine\software\microsoft\windows\currentversion\run

  键名:msiexec 键值:“ wowexec.exe”

  该木马还会在注册表中增加如下键值,用来存储自身设置:

  hkey_classes_root\zpwd_box

  hkey_classes_root\zpwd_box tmupgrade_p dword:41bfabb0

  hkey_local_machine\software\classes\zpwd_box

  hkey_local_machine\software\classes\zpwd_box tmupgrade_p dword:41bfabb0

易修网提供的清除方法
  1、删除病毒的注册表键值,hkey_local_machine\software\microsoft\windows\currentversion\run

  键名:msiexec 键值:“ wowexec.exe”

  该木马还会在注册表中增加如下键值,用来存储自身设置:

  hkey_classes_root\zpwd_box

  hkey_classes_root\zpwd_box tmupgrade_pdword:41bfabb0

  hkey_local_machine\software\classes\zpwd_box

  hkey_local_machine\software\classes\zpwd_box tmupgrade_p dword:41bfabb0
Luke8 - 2011-1-24 13:35:00
请问楼主你的杀毒软件报毒了吗?
建议楼主使用天月版主专贴中本楼的文件提取软件。
http://bbs.ikaka.com/showtopic-8442813.aspx#3637453
然后将文件打包。上传到
http://mailcenter.rising.com.cn/filecheck/
让我们为您检查一下。
同时也在回帖中上传一份样本给我们。
Koy_Song - 2011-1-24 14:05:00
建议LZ使用瑞星2011或瑞星卡卡助手对系统进行扫描..
  不过,从LZ上传的截图上来看..的确不像是可疑进程..像是plugin_contain的子进程..
疾風のしずく - 2011-2-19 16:57:00
请问如何通过进程获取文件真实路径呢!
我查了一下,找到这个网页说了相关的,
http://topic.csdn.net/u/20090314 ... 2-31bbb5ea55d7.html
可不知道怎么用文件提取器提取任务管理器的进程,要先获取文件的真实路径不知用何方法,请高手们告知,学习、解决。
天月来了 - 2011-2-19 18:57:00
在出现的时候,去扫描SRENG日志来看
kingw3 - 2011-2-19 20:42:00


引用:
原帖由 疾風のしずく 于 2011-2-19 16:57:00 发表
请问如何通过进程获取文件真实路径呢!
我查了一下,找到这个网页说了相关的,
[url=http://topic.csdn.net/u/20090314/11/a9e7e784-6da0-4200-a352-31bbb5ea55d7.html]http://topic.csdn.net/u/20090314 ... 2-31bbb5ea55d7.html[
楼主您好 请您下载process explorer  地址:http://www.onlinedown.net/soft/31805.htm
运行后 找到您要提取文件的那个进程 右键选择properties(属性) 在弹出的属性框里可以看到该进程对应文件的具体位置 打包上传吧 或者上传一份您系统的sreng2日志 我们给您分析
疾風のしずく - 2011-3-1 18:21:00
今天又出来这三个可疑进程,上传一份我的系统的sreng2日志,请大虾们分析一下,感谢!


附件: SREngLOG.log
networkedition - 2011-3-2 10:36:00
sreng日志未见那三个进程,lz下载这个工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=447115扫描一个日志发来看一下。
疾風のしずく - 2011-3-3 22:46:00
已用SnipeSword扫描出来了,谢谢帮忙,请看……

附件: SystemLog.txt
networkedition - 2011-3-4 9:33:00
是在任务管理器里出现那三个进程时扫描的嘛?狙剑日志也未见那三个进程:kaka6:
疾風のしずく - 2011-3-7 15:00:00
是出现时扫的,难道是样子货,没“馅”?????:kaka8:
networkedition - 2011-3-7 16:27:00
在任务管理器里出现那三个进程时,下载附件工具扫描日志发来,日志在工具的同一目录下。VFLog.html

附件: VeryFunny.zip
疾風のしずく - 2011-3-11 17:18:00
出来时扫描的,用VeryFunny,请看日志↓,谢谢。。。

附件: VFLog.rar
networkedition - 2011-3-14 14:50:00
还是未见那三个进程,估计有软件损坏了吧。不像是病毒。
疾風のしずく - 2011-3-16 16:24:00
感谢networkedition大版主,偶放心了,谢谢您的多次回答,真是一位负责人的斑竹啊~谢谢
:kaka12:
1
查看完整版本: 发现可疑进程,这些是病毒进程吗?