[求助]请各位帮忙看看这个服务是什么，能删除吗？

myl19881115

路径下貌似也没有这个文件

蓝色天气

百度 百科http://baike.baidu.com/view/779847.htm
wscript.exe
进程文件：wscript 或者 wscript.exe

  
进程名称：Microsoft Windows Script Host
描述：
wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序。
wscript全称“Windows Scripting Host”，是一种批次语言/自动执行工具——它所对应的程序“wscript.exe”是一个脚本语言解释器，位于C:\WINDOWS\system32目录下，正是它才使得脚本可以被执行，就象执行批处理一样，可以拿来执行.wsh，.vbs，.js等。但由于其功能十分强大，可能会被一些恶意病毒代码所利用。

myl19881115

蓝色天气 发表于 2013-9-13 10:24
wscript.exe是微软Microsoft Windows操作系统脚本相关支持程序。
wscript全称“Windows Scripting Host”， ...

百度了半天也没有这个服务的说明，不知道是什么时候多出来的

villana

既然没有对应文件，那就删除得了

蓝色天气

myl19881115 发表于 2013-9-13 10:25
百度了半天也没有这个服务的说明，不知道是什么时候多出来的

金山系统文件百科http://file.ijinshan.com/exe_wscript_exe.shtml
但要是没觉得有神马异常，暂时可以不管它

myl19881115

villana 发表于 2013-9-13 10:27
既然没有对应文件，那就删除得了

请教下如何删除呢，有2个路径C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\wbem\这个路径下面根本就没有这个文件Desktop.ini:wmic.js，显示隐藏文件也没有

loms126

myl19881115 发表于 2013-9-13 10:30
请教下如何删除呢，有2个路径C:\WINDOWS\System32\WScript.exe
C:\WINDOWS\system32\wbem\这个路径下面 ...

貌似一个NTFS数据流病毒，正常情况下你是看不到隐藏的wmic.js文件的。
请用notepad C:\WINDOWS\system32\wbem\Desktop.ini:wmic.js 命令，打开这个隐藏文件，上传器内容（其实也没必要，正常人不会在这个敏感位置用这种手段隐藏文件的，病毒几率很高）。

将其内容清空，保存。删除服务项。
注意，C:\WINDOWS\System32\WScript.exe 是正常的脚本执行程序（不过最好也查下签名），不要轻易删除。病毒体应该只在wmic.js中，WScript.exe只是被调用执行脚本的系统程序。

最后，用AlternateStreamView(http://www.nirsoft.net/utils/alternate_data_streams.html)检查下是否有其他隐藏的流文件。全盘杀毒。

恋爱的夏娜

loms126 发表于 2013-9-13 10:51
貌似一个NTFS数据流病毒，正常情况下你是看不到隐藏的wmic.js文件的。
请用notepad C:\WINDOWS\system ...

wbem是Windows Management Infrastructure 的一个命令行实践，使用命名空间的方式来管理系统当中的诸多部分，在XP时代就存在，Win7下得以强化，Win8不是很清楚，我只是用过一两次，但是它能查看到的信息，比传统的CMD多得多，和Powershell没有比过不知道。WMIC就是Windows Management Infrastructure Command的缩写。
我奇怪就奇怪在，这个东西知道的人是非常少的，如果是病毒的话，那它也实在是太过于厉害了点。

loms126

恋爱的夏娜 发表于 2013-9-13 12:34
wbem是Windows Management Infrastructure 的一个命令行实践，使用命名空间的方式来管理系统当中的诸多部 ...

这个应该没有调用WMIC，普通的js脚本路线，感觉只是为掩人耳目放到wbem下的。当然用wmic干坏事的程序也有。

有两点值得怀疑：1.奇葩服务命名 zkwwlnxf，像国人的风格。2. wbem下竟然会有desktop.ini这样的配置文件。

赶明儿给大家介绍一下wbem啦让我们也好好学习下

myl19881115

loms126 发表于 2013-9-13 10:51
貌似一个NTFS数据流病毒，正常情况下你是看不到隐藏的wmic.js文件的。
请用notepad C:\WINDOWS\system ...

非常感谢，我照您的方法删了它