• 欢迎访问金刀客博客!
  • 2019,春节快乐!

U盘病毒wsctf.exe和EXPLORER.EXE的清除办法

病毒分析 admin 6661次浏览 已收录 2个评论

前2天,在我同学寝室玩,突然他叫我说,U盘有病毒。很自然的我用WINRAR打开其U盘看了下,一眼就瞄见AUTORUN.INF了,清除了就和他聊了起来。他说他只那天做开题时到实验室的电脑插过的。
果然,今天跑那一看,进程里多了些不认识的进程。多了wsctf.exe和EXPLORER.EXE,偷游戏账号密码的,删除一个马上就恢复了,看样子可能是双进程守护。不搞了,先用SRE扫描一下系统。然后到我的这个博客里down下icesword。设置禁止创建进程,顺利把上面2个东东干掉。先在“文件夹选项”的“查看”设置“显示系统保护文件”和“显示所有文件和文件夹”,找到这2个东东所在的地方,%windir/system32/wsctf.exe和EXPLORER.EXE,删除这2个程序,并分别建立和这2个东东同名的文件夹。
运行输入msconfig,多了这2个进程的启动,删除,可是发现再次打开时还有,那肯定是注册表有问题。
在运行种输入regedit,找到
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ,删除wsctf.exe相关键值,郁闷,不然删除。突然发现怎么run下面多了个项啊,名字不记得了,管他的,先删除。再去删除wsctf.exe相关键值,ok,把EXPLORER.EXE的也干掉。
这时SRE的结果也出来了,发现userinit被修改成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = USERINIT.EXE,EXPLORER.EXE
把后面的EXPLORER.EXE 干掉
这个东东就算清除了,插入U盘试了下,不再感染了,收工,闪人!
回来后扫了下,EXPLORER.EXE和wsctf.exe分别是
[color=Blue]Trojan.PSW.SBoy.a
Trojan.PSW.SBoy.b
截几张EXPLORER.EXE的分析图
修改userinit,以自启动
写AUTORUN.INF


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明U盘病毒wsctf.exe和EXPLORER.EXE的清除办法
喜欢 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到
(2)个小伙伴在吐槽
  1. 打开我的电脑,然后在顶部菜单的“工具”项中选中“文件夹选项”,查看,钩选“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件”。就OK了
    admin2007-03-30 12:25 回复
  2. 你好,我中了EXPLORER.EXE毒,但是找不到你所说的那个选项!杀不了啊!
    dodo3212007-03-30 11:58 回复