win7系统开启记事本
[蠕虫简单
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
]:
蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民) 蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b CRC32:100A382A
[发作现象]:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
[行为分析]:
1. 在注册
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
中创建USBSpyRunMutex互斥量,避免重复感染。 2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load,“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。 开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是 wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。
[修改办法]
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移动存储设备:
连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点“open”),然后打开菜单栏的”工具”->”文件夹选项”->”查看 “,去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf 移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。。
还有个方便的
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
批处理删除注册表修改:
复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete “HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows”/v“load”/f
regadd“HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows”/v“load”/t REG_SZ /d“”/f
然后运行,完毕后重启电脑
方法(一):
1、打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。(没有文件夹选项或者设置了但无法显示隐藏文件则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“〖注册表类〗”)。
3、搜索硬盘删除KB20060111.exe(也许文件名不同,在XP系统中是和记事本一样的蓝色图标,位置是C:\WINDOWS\KB20060111.exe),搜索硬盘删除wincfgs.exe(在XP系统中是黄色问号图标的隐藏系统文件,位置是C:\windows\system32\wincfgs.exe)。
XP系统的搜索方法:开始,搜索,文件或文件夹,所有文件和文件夹,要在“更多高级选项”选择“搜索系统文件夹、隐藏的文件和文件夹、子文件夹”,输入文件名,只搜索系统盘(C盘)。
4、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将“项、值、数据”这三个查找选项选上,搜索“KB20060111.exe”,删除找到的项/值,按F3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除“.\RECYCLER\RECYCLER\autorun.exe”和“wincfgs.exe”的相关项/值。(提示注册表被锁定,无法打开注册表编辑器,则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“〖注册表类〗”)
5、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过) 6、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***,选择否。(没有看到wincfgs启动项则略过)
7、结束。
???????????????????????????????????????
比如XP系统的则删除注册表以下项/子项:没有的话当然不用删除了~~~
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache C:\windows\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load
???????????????????????????????????????
方法(二):
以下方法是用批处理删除文件、导入清理注册表:
1、删除文件:记事本写下以下内容,点“文件,另存为”,保存类型选择“所有文件”,文件名为1.bat,然后双击运行文件。
@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
tskill conime
del %0
::=======分界线============分界线===============
2、清理注册表:记事本写下以下内容,点“文件,另存为”,保存类型选择“所有文件”,文件名为1.reg,然后双击运行文件,运行后文件可以删除。(提示注册表被锁定,无法导入注册表,则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“〖注册表类〗”)。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\windows\system32\wincfgs.exe"=-
"C:\WINDOWS\KB20060111.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
#=======分界线============分界线===============
3、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机
都显示***,选择否。(没有看到wincfgs启动项则略过)
4、结束。
???????????????????????????????????????
二、删除U盘/MP3上的开机弹出空记事本病毒体:
1、设置一下能看到系统隐藏文件.
2、打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN.
3、打开U盘/MP3后看到RECYCLER文件夹.删除.
4、再删除autorun.inf就行了.
5、杀了后正常拔出U盘,再插上就可以了.否则双击打开U盘出现“拒绝访问”。 6、结束.
、
这个是“启动文件夹”里面的"desktop.ini"配置文件的属性问题。这个文件本来是具有“系统”和“隐藏”属性的,如果去掉了“系统”属性的话,就会出现你所描述的状况。
解决办法:使用"attrib +s +h命令"重新加上“系统”和“隐藏”属性即可。具体操作要先找到这个文件所在的目录,如果是所有用户的话,就是
"C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup",右键以管理员权限运行“命令提示符”,先使用"cd"命令进入这个目录,然后输入命令"attrib +s +h desktop.ini"即可。如果只是你现在使用的这个用户的话,就是 "C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs",直接双击打开命令提示符,同样cd到相应目录,输入命令"attrib +s +h desktop.ini"即可。
来自:求助得到的回答