瑞星卡卡安全论坛

这两天有很多客户不停的报修，进入系统以后发现桌只有背景图片面无任何图标。鼠标可以移动。在任务管理器中进程里运行EXPLORER。EXE或删除多余的explorer.exe桌面就可以显示。请问这是什么病毒。
用瑞星和江民、卡巴都杀不到这个病毒

好像有人说是“灰熊”病毒，不知道是不是

是喔，我这边也是好多人在报修这个。两种主流杀毒（瑞星和卡巴）也对他没用。我这小店两天里头已有数十部机子出现楼主所言的状况。

一样
有时会有时不会

LZ：发个样本给我
dina77cn@yahoo.com.cn
发送时请加密TQC

在金山那里找到的资料：
原来那毒叫“魔域盗贼”
　金山毒霸反病毒专家戴光剑表示，“魔域盗贼”变种MS（Win32.Troj.OnlineGames.ms）并非一普通的游戏盗号木马，它可用特殊的方法逃避杀毒软件的查杀，而且由于病毒本身存在一个缺陷，所以
用户一旦中招，系统在启动过程中将无法显示桌面，致使用户无法看到桌面图标，而只能看到一个空白的桌面。

　　专家介绍，该病毒运行后，会把自己拷贝到系统目录中，并释放一个病毒文件C：WINDOWS＼system32＼wsttrs.dll(Win32.Troj.Onlinegames.nb.12288)，之后病毒体将自行删除。

很简单!!!杀是杀不掉的!!!用卡卡,
CTRL+ALT+DEL  关闭一个W开头.EXE后缀的进程,然后从卡卡的系统启动项里把这个进程禁止,重启再看看!!!
如果你的电脑连任务管理器都不能打开,哈哈,你就幸福了!!!

附件: 8092172007410224849.jpg

引用:

【DRAGONBONES的贴子】很简单!!!杀是杀不掉的!!!用卡卡, CTRL+ALT+DEL  关闭一个W开头.EXE后缀的进程,然后从卡卡的系统启动项里把这个进程禁止,重启再看看!!! 如果你的电脑连任务管理器都不能打开,哈哈,你就幸福了!!! ………………

你说的该不会是winlogon.exe这个进程吧。。。

我这有2 个W开头的啊,是哪个,能说清楚点吗,谢谢.一个是wsttrs.exe,还一个是winlogon.exe

今天发现的是wsttrs.exe进程,到现在还未彻底解决.

引用:

【DRAGONBONES的贴子】很简单!!!杀是杀不掉的!!!用卡卡, CTRL+ALT+DEL  关闭一个W开头.EXE后缀的进程,然后从卡卡的系统启动项里把这个进程禁止,重启再看看!!! 如果你的电脑连任务管理器都不能打开,哈哈,你就幸福了!!! ………………

这不是好办法,也不彻底.

看置顶那个木马群的介绍

请老大帮.忙解决一下这个问题吧~~~~的解很严重

顶,    请提供专杀工具和补丁

顶上啊..现在说的新建explorer.exe只是暂时性的解决问题.机器一重起问题仍然存在,,,请告知怎么彻底解决这个问题.~!

结束wsttrs.exe进程,然后参照置顶帖手动杀毒

结束wsttrs.exe进程,然后参照置顶帖手动杀毒
这是个好办法  谢谢了 真心感谢 (饭后点心)

置顶帖手动杀毒?置顶帖在什么地方啊.不好意思没看到啊

大家的回帖看的我真开心
当我没来.

终止 wsttrs.exe  还有其他什么可以的也终止    删除在WINDOWS\wsttrs.exe 文件  清空临时文件  关闭系统还原  换一个好的杀毒软件  更新后杀毒      这是个木马类病毒  也可以用国外的杀木马软件杀毒  最好查出后隔离  不要删除(删除了电脑会不正常)  只要杀毒软件可以杀毒了再沙也不迟.

顶
一直到有好的解决办法

期待瑞星的专杀工具出现

期待瑞星的专杀工具出现

没遇到过这种病毒，应该不是很强吧

EXPLORER.EXE文件被篡改了,去没中的机子上拷贝一个EXPLORER.EXE文件在纯DOS模式下 拷贝覆盖掉原来的文件 应该可以了

引用:

【枫之小灯的贴子】EXPLORER.EXE文件被篡改了,去没中的机子上拷贝一个EXPLORER.EXE文件在纯DOS模式下 拷贝覆盖掉原来的文件 应该可以了 ………………

我们有工程师这样做过,可第二天客户又报了,太凡人了.
如果有补丁程序就好了

就没有好的解决办法吗

我用GHOST还原了C盘，就好了

先在注册表里查找WSTTRS.EXE 找到的都删除了!进到DOS下把C:\WINDOWS\WSTTRS.EXE删除了就好了!要是提示找不到就
ATTRIB -H -S -A WSTTRS.EXE
DEL WSTTRS.EXE