微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » wsctf.exe是病毒吗  

作者:
标题: wsctf.exe是病毒吗
hgp1980
新手上路





积分 2
发帖 2
注册 2006-7-13
#1  wsctf.exe是病毒吗

微点查不出来wsctf.exe是病毒吗,在网上看了说是 个木马,请版主答复如何清除

※ ※ ※ 本文纯属【hgp1980】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-10 09:08
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

方便的话请把您的这个病毒样本压缩加密发到virus@micropoint.com.cn我们具体测试下,您可以看下您的微点软件的系统自启动信息(系统分析中)是否有其他软件的启动项目;您的微点软件的进程综合信息中是否有其他软件的进程或者点击window系统中的explorer.exe进程看下下面的模块信息中是否存在程序说明为其他软件的进程,或者把您的微点软件的系统自启动信息及安装目录下的mp6目录压缩发到support@micropoint.com.cn我们具体分析下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-2-10 09:23
查看资料  发短消息   编辑帖子
zqrsc
版主

反病毒区版主


积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#3  

因该是个U盘传播的木马病毒.我在这次年终述职中 在某些片区经理的笔记本中发现过同名文件.样本因该提交给官方过.微点在我这可以捕捉它啊.
那个触发文件 autorun.inf 需要手动清除

※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2007-2-10 12:14
查看资料  发短消息  QQ   编辑帖子
冰河
注册用户





积分 76
发帖 76
注册 2007-2-9
#4  

结束两个EXPLORER.EXE 进程,再结束wsctf.exe 进程,再到System32里面删除掉,即ok,那么简单。至于再开机为什么自动打开两个我的文档,查查百度知道就行了,我懒得罗嗦。

※ ※ ※ 本文纯属【冰河】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-11 10:13
查看资料  发送邮件  发短消息   编辑帖子
冰河
注册用户





积分 76
发帖 76
注册 2007-2-9
#5  wsctf.exe的解决方法--淡如水[icuit]

以下是解决此病毒的办法

推荐工具:卡卡上网安全助手3.0

首先打开卡卡助手的进程管理里
如果发现有wsctf.exe[windows\system32\wsctf.exe]
和EXPLORER.EXE[windows\system32\EXPLORER.EXE.exe]    不是windows\下的那个,不要弄错了
那么现在的工作就是清除他们

当然,直接是结束不了进程的
也是直接删除不了的
这里要用到两个windows命令
taskkill,attrib
这里只讲述怎么在此事件中使用
而两个命令的具体使用方法请自己百度

在卡卡助手的进程管理里
可以看到这两个进程的PID值
然后taskkill /pid PIDnum1 /pid PIDnum2 /T
注:/T  终止指定的进程和由它启用的子进程
PIDnum1为wsctf.exe的PID号,PIDnum2为EXPLORER.EXE的PID号
注意,执行完两个命令后可能刷新后两个进程还在
然后再次taskkill
这次还要包括一个winlogon.exe
命令行以上类推吧

终于结束了进程
接下来就是清理工作。
还是dosShell下方便
由于两个恶毒的程序把属性改了系统文件并hide了还是只读的
所以要用attrib来终结他们
attrib -a -s -h -r wsctf.exe
attrib -a -s -h -r EXPLORER.exe
然后删除
del wsctf.exe
del EXPLORER.exe
接着是注册表
F3>wsctf.exe
删除搜索到的键值,搜到的时候那个EXPLORER.exe应该和他在一起,删之(可能要F3多次)但记住,不要直接F3>EXPLORER.exe,应该在windows\目录下的是正常的资源管理器

后记
1,切小心U盘病毒,如果里面没有重要文件,最后拿出去用过回来格式化一下
2,本来想做成一个批处理方便操作能力弱的同学,但是PID值不确定,所以。。

注:如有转载请标明作者.谢谢!
如果有更简单的方法还希望多多交流!

※ ※ ※ 本文纯属【冰河】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-11 10:18
查看资料  发送邮件  发短消息   编辑帖子
冰河
注册用户





积分 76
发帖 76
注册 2007-2-9
#6  

重启按F8进入安全模式,在命令符下输入:

cd C:\WINDOWS\system32

attrib -a -s -h -r wsctf.exe

attrib -a -s -h -r EXPLORER.EXE

del wsctf.exe

del EXPLORER.EXE

然后,调出任务管理器,结束wsctf.exe和EXPLORER.EXE进程,然后,运行-msconfig-启动,删了上面的两个启动.最后在注册表里查找这两个文件的表值并删除,注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象E盘F盘之类).

※ ※ ※ 本文纯属【冰河】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-2-11 10:19
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号