U盘病毒wsctf.exe和EXPLORER.EXE的清除办法

        
           前2天，在我同学寝室玩，突然他叫我说，U盘有病毒。很自然的我用WINRAR打开其U盘看了下，一眼就瞄见AUTORUN.INF了，清除了就和他聊了起来。他说他只那天做开题时到实验室的电脑插过的。
    果然，今天跑那一看，进程里多了些不认识的进程。多了wsctf.exe和EXPLORER.EXE，偷游戏账号密码的，删除一个马上就恢复了，看样子可能是双进程守护。不搞了，先用SRE扫描一下系统。然后到我的这个博客里down下icesword。设置禁止创建进程，顺利把上面2个东东干掉。先在“文件夹选项”的“查看”设置“显示系统保护文件”和“显示所有文件和文件夹”，找到这2个东东所在的地方，%windir/system32/wsctf.exe和EXPLORER.EXE,删除这2个程序，并分别建立和这2个东东同名的文件夹。
     运行输入msconfig，多了这2个进程的启动，删除，可是发现再次打开时还有，那肯定是注册表有问题。
     在运行种输入regedit，找到
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]  ，删除wsctf.exe相关键值，郁闷，不然删除。突然发现怎么run下面多了个项啊，名字不记得了，管他的，先删除。再去删除wsctf.exe相关键值，ok，把EXPLORER.EXE的也干掉。
     这时SRE的结果也出来了，发现userinit被修改成
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = USERINIT.EXE,EXPLORER.EXE
把后面的EXPLORER.EXE 干掉

这个东东就算清除了，插入U盘试了下，不再感染了，收工，闪人！

回来后扫了下，EXPLORER.EXE和wsctf.exe分别是
Trojan.PSW.SBoy.a
Trojan.PSW.SBoy.b

截几张EXPLORER.EXE的分析图
修改userinit，以自启动
写AUTORUN.INF

[本日志由 admin 于 2009-05-06 02:42 PM 编辑]