科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道wsctf.exe和explorer.exe病毒分析

wsctf.exe和explorer.exe病毒分析

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

当发现进程中多了wsctf.exe和EXPLORER.EXE两个进程,其中EXPLORER.EXE进程在c:\windows\system32下,跟系统在c:\windows的下Explorer.exe有可能存在大小写的差别,可能是中毒了。

作者:天天反病毒 2007年11月5日

关键字: explorer.exe专杀 explorer.exe错误 explorer.exe病毒 Explorer.exe

  • 评论
  • 分享微博
  • 分享邮件

  系统症状:

  1.进程中多了wsctf.exe和EXPLORER.EXE两个进程,其中EXPLORER.EXE进程在c:\windows\system32下,跟系统在c:\windows的下Explorer.exe有可能存在大小写的差别(不排除变种和Explorer.exe名称一样)。

  2.在运行/msconfig查看发现了多了两个启动项目wsctf和EXPLORER.

  3.在C:\ WINDOWS\system32下面出现了两个隐藏文件:wsctf.exe和EXPLORER.EXE.

  4.可能伴随开启电脑桌面图标和开始菜单栏都无法显示。

  解决办法:

  1.最好进入安全模式下处理。(开机按F8,选择进入安全模式)

  2.不进入安全模式下处理,按"Ctrl+Alt+Del"调出taskmgr.exe(Windows任务管理器)

  3.禁止wsctf.exe和EXPLORER.EXE两个进程。正常的Explorer.exe进程一首字母为大写,cpu占有率和内存使用量比较低(cpu占有率一般为零;内存使用量不会超过30M,当然不排除另外)。

  4.如果无法判断Explorer.exe进程的真伪,解决的办法有多个。

  法一:如果安装了超级兔子任务管理器、SREng和IceSword等可以显示进程路径的类似工具,可以打开超级兔子任务管理器。打开方法:"Ctrl+Alt+Del"调出taskmgr.exe→单击“文件”菜单→选择“新建任务”→“浏览”打开超级兔子exe→选择超级兔子任务管理器→真的Explorer.exe的路径为c:\windows下而不是c:\windows\system32。

  法二:(推荐方法)用taskmgr.exe结束全部的Explorer.exe进程→选择taskmgr.exe“文件”→选“新建任务”→“浏览”→选择c:\windows\路径下的Explorer.exe→“确定”。

  (完成第四步后系统的开启电脑桌面图标和开始菜单栏正常显示过来)

  5.打开我的电脑→工具→文件夹选项→查看→把隐藏受保护的操作系统文件前面的的勾去掉,并且选择显示所有文件和文件夹→确定。(如果隐藏的文件和隐藏的受保护的操作系统文件还没有显示,请参看我的“解决‘隐藏的文件和隐藏的受保护的操作系统文件’无法显示问题”文章)

  6.回到c:\windows\system32下,删掉wsctf.exe和EXPLORER.EXE两文件。

  7.为了避免机器重起后弹出提示“找不到wsctf.exe和EXPLORER.EXE”错误。

  A.“开始”→“运行”→输入“mscongfig”→确定→启动把wsctf和EXPLORER前面勾去掉(把路径不是c:\windows下的Explorer通通去掉)。

  B.“开始”→“运行”→输入“regedit”→确定→依次打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run把其中的wsctf和EXPLORER项去掉(把路径不是c:\windows下的Explorer通去掉)。

  8.关机重起。

  其实病毒都是利用浏览器的漏洞进行传播,大家在上网的时候最好用Firefox浏览器浏览网页,这种浏览器最大的好处就是安全!Firefox浏览器下载地址:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章