Wowexec.tmp病毒解决方案

Wowexec.tmp病毒是这几年来，是厉害的一个，从本月16开始陆续感染，现在已经过去11天，但是该到底由什么文件产生，生成什么文件，病毒的主文件是什么？至今包括我在内都很糊涂！所以我现在写的解决方案也只能治标，无法从原理上、根本上去解决！

我是25号中的，而且中的是Wowexec.tmp病毒的改良版，这个版本是20左右才出现的！由于该病毒太厉害，所以我经过奋力的拼杀无果，最后来了一个狠的，才总算搞定的！

中Wowexec.tmp病毒的表现
1.开始菜单中及资源管理器中的图标，没有图片了，只剩下一个小箭头！
2.任务栏管理器中，总有四到五个莫名其妙的进程！
3.系统分区空间越来越少
4.内存越来越不够用，机子越来越慢
5.杀毒软件打不开
6.总是不断地下载到硬盘中乱七八糟的文件

Wowexec.exe病毒会陆续下载与释放的文件
1.C:\Program Files\ SVHOST32.EXE
2.C:\Documents and Settings\你的管理员用户名\Local Settings\Temp\Wowexec.exe,Mediasups.exe 还有一大堆随机产生垃圾文件，严重造成系统分区空间不足
3.任务栏管理器中多出的进程为：Wowexec.exe, FpwoEs.exe, Yvpxmn.exe,PGITPR.exe TNuloD.exe(注意除了第一个，其它为随机产生，这些文件放在Temp下面)
4.C:\Windows\Temp\\Wowexec.exe,Mediasups.exe（注意这个两文件与上面的文件一样，只不过位置不一样）
5.下载可执行文件并执行，也是在Temp下，如ZTS22.exe  mhs2.exe rxzs.exe wlzs.exe
6.产生C:\Windows\System32\Itdll.dll msdll.dll bwdll.dll dllf.dll windds32.dll windhcp.ocx winds32.dll dllwin.dll等文件
7.不断连接到WWW.dosboy.com上，并不断下载病毒文件
8.有人说，在C:\Program Files\Internet Explorer\2sy.exe 5sy.exe 6sy.exe 这个我没有
9.有人说，在C:\Windows\Intel\rundll32.exe Svhost32.exe这个我也没有
10.有人说，在C:\Windows\System32\Winntup.dll同样，这个我也没有
11.在服务中，增加服务ZJIV（发现时，已经被我删除，所以缺少相关资料）
12.在服务中，增加服务Win32 Display Driver 服务名称为Win32DDS，并改为自动(怀疑为内奸）
13.在启动项增加｛729B6C61-BDC5-4C09-A1DE-A296BAOB89EC｝
14.在启动项增加｛08315c1A-9BA9-4B7C-A432-26885F78DF28｝
15.在C:\Windows\Net.com Regedit.com Cmd.com 这三个文件，我要特别说明一下，这三个病毒文件的大小是变化的，有时为1M多，有时仅为92K


解决方案
1.断开网络，这是最重要的！

2.到任务栏管理器中结束掉上述的有害进程！

3.点击工具→文件夹选项→查看→依次去掉隐藏受保护的操作系统文件（推荐），隐藏已知文件类型的扩展名，再点上显示所有文件和文件夹，再点击应用→确定！

4.打开优化大师，将启动项的上述可疑项目删除，再点击优化！

5.右击我的电脑，选择管理，进入MMC，找到Win32 Display Driver，将它禁用，再找到ZJIV，将它也禁用！

6.你找到C:\Windows\system32\driver\etc\hosts 打开hosts文件打开（在打开方式中找到记事本），再增加几条
   127.0.0.1 www.dosboy.com
   127.0.0.1 61.153.46.136
   127.0.0.1 58.82.102.153
   127.0.0.1 220.162.247.180
   127.0.0.1 203.171.239.4
最后保存，如果你发现该文件上有黑色小圆环，那就到优化大师里改吧，点击系统安全优化→附加工具→网站免疫→增加，只要输入网址就可以了，这样能做屏蔽有害网站的作用，这些网站不都是有害的，但有嫌疑，所以我都给它加上了！

6.然后我们到C:\Documents and Settings\你的管理员用户名\Local Settings\Temp\删除Wowexec.exe,Mediasups.exe，然后再建立两个文件（用记事本建立），然后更名为Wowexec.exe与Mediasups.exe，并将它们的属性改为只读！这一点很重要，否则它们会被替换，从而无功而返！

7.下载毒霸专杀工具DubaTool_Kodo，这个我在附件中提供了，关于它的使用方法，我就不多说了，但是关于它的作用我还要说一下，它只能清除被感染的EXE文件，不能清除病毒，但是它已经是很新的了，已经更新到26号，也就是昨天的了！我们耐心地等待一下，这个时候最好什么其它无关的软件都不要执行，甚至其它的分区都不要去了！否则感染将进一步扩大，损失也会进一步扩大！当遇到感染的EXE文件，只有一个办法，那就是清除它，我的绝大部分EXE都被清除掉了，很可惜！令我后悔的是，当初我遇到这种情况后，果断采取措施，立即清除这些感染的文件，那么损失就不会有那么大，都舍不得啊，后来，反而更后悔！

8.清除完毕后，重新启动，按F8进入安全模式。将C:\windows\system32下面上述的可疑删除！

9.为了防止万一，我们在全盘范围内，搜索所有的EXE文件，但是要在高级选项中作一个设定，选择“搜索系统文件夹”“搜索隐藏的文件和文件夹”“搜索子文件夹”“搜索磁带备份”，并在什么时候修改的，选择指定日期从2006－12－16到今天（如2006－12－27），最后在全部或部分文件名上填上“*.EXE”（无双引号），最后点击搜索。搜索完毕后，不要问为什么，一律格杀勿论！

10.最后，你再到C:\Windows下面，C:\windows\system32下面，将文件或文件夹按照时间方式排列。找到最新的Dll文件，能删除的全部删除！此时，你打开完美卸载，或安全360都可以删除掉Windhcp.ocx！

11.文件清除完毕后，重新启动，再用DubaTool_Kodo扫描一次，直到没有感染文件为止。然后我们再把上述可疑的地方挨个检查一下，做到万无一失。

12.最后，重新修好杀毒软件，开上防火墙，再联上网，立即更新它们。最后考验一时间后，确定没有问题后，再重新修复其它软件！

需要注意的是：
1.不要使用filemon、softeICE、Regmon等软件，该病毒有一定的反侦察能力，一旦发现有类似软件，它将会自动关闭自己的进程，并在下一次启动中感染这些文件，或删除它们。

2.遇到受感染的文件，千万不要再运行了。一旦运行，病毒会驻入内存，并迅速在下一次运行嵌入其它EXE文件当中，而使其它文件受感染！

3.将未受感染的EXE文件，尤其是备份的EXE文件，全部打包成RAR文件吧，吃一暂，长一智哟！

4.不要重装系统，这是没有多大用的，因为，只要病毒在其它盘，不能得到清除，会迅速感染全部好的EXE文件的，除非全部格式化了。

病毒专杀工具  http://tool.duba.net/zhuansha/252.shtml