微点交流论坛

标题: wsctf.exe是病毒吗 [打印本页]

作者: hgp1980 时间: 2007-2-10 09:08 标题: wsctf.exe是病毒吗

微点查不出来wsctf.exe是病毒吗，在网上看了说是个木马，请版主答复如何清除

作者: Legend 时间: 2007-2-10 09:23
方便的话请把您的这个病毒样本压缩加密发到virus@micropoint.com.cn我们具体测试下，您可以看下您的微点软件的系统自启动信息（系统分析中）是否有其他软件的启动项目；您的微点软件的进程综合信息中是否有其他软件的进程或者点击window系统中的explorer.exe进程看下下面的模块信息中是否存在程序说明为其他软件的进程，或者把您的微点软件的系统自启动信息及安装目录下的mp6目录压缩发到support@micropoint.com.cn我们具体分析下

作者: zqrsc 时间: 2007-2-10 12:14
因该是个U盘传播的木马病毒.我在这次年终述职中在某些片区经理的笔记本中发现过同名文件.样本因该提交给官方过.微点在我这可以捕捉它啊.
那个触发文件 autorun.inf 需要手动清除

作者: 冰河 时间: 2007-2-11 10:13
结束两个EXPLORER.EXE 进程，再结束wsctf.exe 进程，再到System32里面删除掉，即ok，那么简单。至于再开机为什么自动打开两个我的文档，查查百度知道就行了，我懒得罗嗦。

作者: 冰河 时间: 2007-2-11 10:18 标题: wsctf.exe的解决方法--淡如水[icuit]

以下是解决此病毒的办法

推荐工具:卡卡上网安全助手3.0

首先打开卡卡助手的进程管理里
如果发现有wsctf.exe[windows\system32\wsctf.exe]
和EXPLORER.EXE[windows\system32\EXPLORER.EXE.exe] 不是windows\下的那个，不要弄错了
那么现在的工作就是清除他们

当然，直接是结束不了进程的
也是直接删除不了的
这里要用到两个windows命令
taskkill,attrib
这里只讲述怎么在此事件中使用
而两个命令的具体使用方法请自己百度

在卡卡助手的进程管理里
可以看到这两个进程的PID值
然后taskkill /pid PIDnum1 /pid PIDnum2 /T
注：/T 终止指定的进程和由它启用的子进程
PIDnum1为wsctf.exe的PID号，PIDnum2为EXPLORER.EXE的PID号
注意，执行完两个命令后可能刷新后两个进程还在
然后再次taskkill
这次还要包括一个winlogon.exe
命令行以上类推吧

终于结束了进程
接下来就是清理工作。
还是dosShell下方便
由于两个恶毒的程序把属性改了系统文件并hide了还是只读的
所以要用attrib来终结他们
attrib -a -s -h -r wsctf.exe
attrib -a -s -h -r EXPLORER.exe
然后删除
del wsctf.exe
del EXPLORER.exe
接着是注册表
F3>wsctf.exe
删除搜索到的键值,搜到的时候那个EXPLORER.exe应该和他在一起，删之（可能要F3多次）但记住，不要直接F3>EXPLORER.exe,应该在windows\目录下的是正常的资源管理器

后记
1，切小心U盘病毒，如果里面没有重要文件，最后拿出去用过回来格式化一下
2，本来想做成一个批处理方便操作能力弱的同学，但是PID值不确定，所以。。

注：如有转载请标明作者.谢谢！
如果有更简单的方法还希望多多交流！

作者: 冰河 时间: 2007-2-11 10:19
重启按F8进入安全模式，在命令符下输入:

cd C:\WINDOWS\system32

attrib -a -s -h -r wsctf.exe

attrib -a -s -h -r EXPLORER.EXE

del wsctf.exe

del EXPLORER.EXE

然后，调出任务管理器,结束wsctf.exe和EXPLORER.EXE进程,然后，运行-msconfig-启动，删了上面的两个启动.最后在注册表里查找这两个文件的表值并删除,注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象E盘F盘之类).

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn