wsctf.exe专杀工具(解决开机自动打开“我的文档”)http://down.ddvip.com/view/11830007849017.html#down
===================================================================http://www.oldhand.org/articles/virus/tips/2007/0110/527.html
本文介绍了手工查杀U盘病毒的方法——手动清除wsctf.exe和explorer.exe两个进程,并删除U盘上的两个同名文件与autorun.inf。
相关症状:
1、多了wsctf.exe和EXPLORER.EXE两个进程,其中EXPLORER.EXE进程跟系统的EXPLORER.EXE进程名称 一样,用msconfig查看发现了多了两个启动项目wsctf.exe和EXPLORER.EXE,在"C:\ WINDOWS\system32"下面出现了两个文件:wsctf.exe和EXPLORER.EXE(两个都是隐藏文件)
2、不能正常运行浩方、冰封王座等软件
解决办法:
1) 插入受感染的U盘或MP3(如果有的话)
2) 按"Ctrl+Alt+Del"调出Windows任务管理器,结束掉EXPLORER.EXE进程,其中EXPLORER.EXE进程有两个,一个是系 统的,一个是病毒的,系统的所在位置是"C:\WINDOWS”,病毒的所在位置是"C:\ WINDOWS\system32",只需结束掉病毒的进程就行了。若不能区别两个进程,可以把两个进程都结束掉,然后再切换到——应用程序——新任务 ——浏览——选择"C:\WINDOWS"文件夹下的explorer.exe,然后打开、确定就可以重新启动系统的EXPLORER.EXE进程了。
3) 结束掉wsctf.exe进程
4) 打开"我的电脑"——工具——文件夹选项——查看——去掉“隐藏受保护的操作系统文件”前面的勾,在弹出的对话框中按“是”,然后再选择“显示所有文件和文件夹”——确定
5) 进入U盘或MP3(如果有的话),把wsctf.exe、EXPLORER.EXE、autorun.inf三个文件都删除掉,删除时会弹出是“系统文件”的对话框,不用管,直接按“是”删除就行(若不删除的话,下次使用的时候电脑会被再次感染)
6) 进入"C:\WINDOWS\system32"——删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件。
7) 按第4步相反的操作,重新隐藏系统文件
8) 开始——运行——输入regedit,按确定后打开注册表,进入HKEY_CURRENT_USER\ Software\Microsoft\ Windows\CurrentVersion\Run目录,右键删除掉wsctf.exe和EXPLORER.EXE两条记录。进入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, 可以看到键值项Userinit,其值为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和 EXPLORER.EXE删除——确定
9) 重启电脑, 搞定!!
=================================================================
http://hi.baidu.com/ethanspaec/blog/item/493b25d3481dee003bf3cf7e.html这个病毒的症状比较有趣:游戏程序无法运行,双击后闪出一下就没反应了,而其他的exe程序一般不受影响。看来作者不想让我们沉迷游戏啊,用心良苦。也许病毒作者的确是出于上述目的,所以这个病毒并不会对我们的电脑造成很大的影响,解决起来也非常方便。毕竟大多数人电脑里的游戏程序是不可或缺的。
解决方法:调出任务管理器,在进程标签下找到wsctf.exe和explorer.exe两个进程,结束进程。注意会有两个explorer.exe进程,一个是病毒程序,一个是资源管理器进程,内存占用率低的那个是病毒程序。如果不小心关错了,在任务管理器-文件-新建一个explorer.exe进程即可。
结束进程之后按照路径删除正面两个程序:
然后开始-运行-msconfig,选择“有选择的启动”,然后在启动标签下把病毒程序的启动项前面的勾去掉。或者进注册表删除相应启动项——开始-运行-regedit,路径如下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run][HKEY-LOCAL-MACHINE\SOFYWARE\MICROSOFT\WINDOWSNT\CURRENTVERSION\WINLOGO]下有项Userinit REG-SZ userinit.exe,explorer.exe,将键值中的explorer.exe删除
Userinit键值误删掉后的恢复
http://hi.baidu.com/ethanspaec/blog/item/c93fc2c8a4c79b177e3e6f52.html
前些天帮同学清理一个U盘病毒wsctf.exe,在做最后的清理工作的时候不小心删过了头,把Userinit整个键给删掉了。这个键位于注册表下述位置:
系统进程:是
后台进程:是
使用网络:否
硬件相关:否
间谍软件:否
广告软件:否
病毒:否
木马:否
系统刚启动时,如果你调出任务管理器就会看到userinit.exe,但过一段时间,系统各项加载完,userinit.exe就会自动消失的。
将要修改的机器设置为光盘启动,出现选择界面后选择[1]Windwos PE(xp)深山红叶光盘工具箱,加载之后可以看到一个类似于Windows的界面。然后如下操作:开始-强力系统修复ERD2003-设置当前系统目录(此步必须,一般都是C:\windows,确定)-注册表编辑器(Regedit,针对硬盘系统)-找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon],在其下新建一个字符串值,键名为"Userinit",键值为"C:\WINDOWS\system32\userinit.exe",重新启动,系统登陆正常。
===================================================================
打开资源管理器,发现这两个可恶的病毒wsctf.exe和explorer.exe 。一般杀毒软件并不能杀干净,它们的传播途径主要是移动硬盘,一般也不易察觉
——结束掉wsctf.exe进程
—— 进入"C:\WINDOWS\system32"——工具——文件夹选项——查看——去掉“隐藏受保护的操作系统文件”前面的勾,在弹出的对话框中按 “是”,然后再选择“显示所有文件和文件夹”——确定——删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件——按刚才的操作,重 新隐藏系统文件
——开始——运行——输入regedit,按确定后打开注册表,进入HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run目录,右键删除掉wsctf.exe和 EXPLORER.EXE两条记录。进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, 可以看到项Userinit,其内容为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和 EXPLORER.EXE删除——确定
——重启电脑, 搞定!!
@echo off
color 0a
taskkill /fi "modules eq %windir%\system32\explorer.exe" /f
taskkill /fi "modules eq %windir%\system32\wsctf.exe" /f
taskkill /im explorer.exe /f
taskkill /im wsctf.exe /f
attrib -s -h -r %windir%\system32\explorer.exe
attrib -s -h -r %windir%\system32\wsctf.exe
del %windir%\system32\explorer.exe /q
del %windir%\system32\wsctf.exe /q
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t reg_sz /d "C:\WINDOWS\system32\userinit.exe," /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v EXPLORER.EXE /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v wsctf.exe /f
cls
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p over=该病毒清除完毕,请按回车显示桌面,然后关闭该窗口就可以了。
c:\windows\explorer.exe
以上内容粘贴到记事本,然后另存为.BAT文件,再运行就可以了
==================================================================
今天打印回来将U盘插入电脑,退出时退不了,强行拨出后,点浩方没有对话框弹出,其他程序可以打开,打开进程发现多了wsctf.exe和 EXPLORER.EXE,用msconfig查看发现了两个启动项目wsctf.exe和EXPLORER.EXE,同时发现在C:\WINDOWS\ system32下面出现了两个文件:wsctf.exe和EXPLORER.EXE。正常情况下删不了,于是就重启按F8进入安全模式,在命令符下输入:
cd C:\WINDOWS\system32
attrib -a -s -h -r wsctf.exe
attrib -a -s -h -r EXPLORER.EXE
del wsctf.exe
del EXPLORER.EXE
然后,调出任务管理器, 结束wsctf.exe和EXPLORER.EXE进程,然后,运行-msconfig-启动,删了上面的两个启动.最后在注册表里查找这两个文件的表值 并删除,注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象E盘F盘之类).
===================================================================
——按"Ctrl+Alt+Del"调出Windows任务管理器,结束掉EXPLORER.EXE进程,其中EXPLORER.EXE进程有两个,一个 是系统的,一个是病毒的,系统的所在位置是"C:\WINDOWS”,病毒的所在位置是"C:\WINDOWS\system32",只需结束掉病毒的进 程就行了。若不能区别两个进程,可以把两个进程都结束掉,然后再切换到——应用程序——新任务——浏览——选择"C:\WINDOWS"文件夹下的 explorer.exe,然后打开、确定就可以重新启动系统的EXPLORER.EXE进程了
——结束掉wsctf.exe进程
—— 进入"C:\WINDOWS\system32"——工具——文件夹选项——查看——去掉“隐藏受保护的操作系统文件”前面的勾,在弹出的对话框中按 “是”,然后再选择“显示所有文件和文件夹”——确定——删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件——按刚才的操作,重 新隐藏系统文件
——开始——运行——输入regedit,按确定后打开注册表,进入HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run目录,右键删除掉wsctf.exe和 EXPLORER.EXE两条记录。进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, 可以看到项Userinit,其内容为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和 EXPLORER.EXE删除——确定
——重启电脑, 搞定!!
=================================================================
http://www.cisko.cn/virus/ShowArticle.asp?ArticleID=262
手工方法清除 wsctf.exe和EXPLORER.EXE 两个病毒文件,并解决开机自动弹出我的文档故障!
今天将U盘插入电脑,双击U盘竟然提示要用别的方式打开,退出时退不了,打开进程管理器发现多了wsctf.exe和EXPLORER.EXE,用msconfig查看发现了两个进程sctf.exe和EXPLORER.EXE。
在C盘直接搜索无法搜索出wsctf.exe和EXPLORER.EXE;
直接进入C:\WINDOWS\system32下面搜索可以出来:wsctf.exe和EXPLORER.EXE。
调出任务管理器,结束wsctf.exe和EXPLORER.EXE进程,然后shift+del删除wsctf.exe和EXPLORER.EXE。
然后,运行-msconfig-启动,删了上面的两个启动。
最后在注册表里查找这两个文件的表值并删除,注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象H盘之类).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = USERINIT.EXE,EXPLORER.EXE
应修改为如下:
Userinit = C:\WINDOWS\system32\userinit.exe,
No comments:
Post a Comment