電腦開機總出現記事本是怎麽回事呀

解析:

開機自動打開記事本的解決方法

最近我的兩個同學的本本相繼出現開機自動打開記事本的狀況，覺得蹊蹺上網找了下這是方法，絕對管用！每次開機，都會彈出壹個空白記事本（但是運行msconfig啟動項，又沒的提示加載記事本）。雖然沒多大影響，但感覺肯定是有問題。偶移動硬盤(或優盤)插到USB口時，點擊盤符進入時，也會彈出空白記事本。隨後，瑞星註冊表監控程序顯示將修改為“HKEY_CURRENT_USER\Sofare\Microsoft\Windows\ShellNoRoam\MUICache

C:\windows\system32\wincfgs.exe”。

會在每個磁盤根目錄下面生成壹個desktop.ini(移動設備有的會創建autorun.inf).

解決方法：（可到這裏下載批處理附件－－解決開機自動打開記事本，直接壹次解決）

1.批處理刪除註冊表修改：

復制下面文字到記事本，另存為“Wincfgs_kill.bat”（註意保存時選擇文件類型為“所有文件”）

echo off

tskill KB***********

tskill wincfgs

del %windir%\kb***********.exe

del %windir%\system32\wincfgs.exe

reg delete "HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f

reg add "HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f

2.移動設備解決方法(以優盤為例)：

連接好USB後，打開我的電腦，點右鍵選擇打開（不要直接點擊打開或點“open”）,然後打開菜單欄的"工具"->"文件夾選項"->"查看"，去掉“隱藏受保護的系統文件(推薦)”前面的勾。刪除掉優盤裏面的desktop.ini，wincfgs.exe和autorun.inf

移動硬盤的手動刪除每個盤符下面的desktop.ini，wincfgs.exe和autorun.inf文件。 另外壹種手動解決方法傳播途徑：U盤等移動存儲危害性：暫無破壞性，只是開機跳出記事本，殺毒軟件不能查出病毒。

手動刪除方法：

用任務管理器或者木馬殺客或者HijackThis結束wincfgs進程，

刪除C:\WINDOWS\KB***********.exe（也許文件名不同，和記事本壹樣的藍色圖標）

和C:\windows\system32\wincfgs.exe（黃色問號圖標的隱藏系統文件）。

開始－運行－regedit，進入註冊表，搜索註冊表刪除wincfgs.exe

比如刪除註冊表以下項/子項：沒有的話當然不用刪除了！！！

HKEY_CURRENT_USER\Sofare\Microsoft\Windows\ShellNoRoam\MUICacheNcB)1Z

C:\WINDOWS\KB***********.exec>

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load=b*DZs

再運行msconfig或者在[HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion\Run]項清理開機啟動項。 此現象是蠕蟲行為，特此提醒廣大網友警惕。

這個蠕蟲目前絕大多數的主流殺毒軟件都可以查殺，請發現此現象的朋友升級殺毒軟件進行殺毒！

以下是對此蠕蟲做的壹些簡單分析：蠕蟲名稱：Worm.Win32.Delf.aj（AVP）

蠕蟲別名：Trojan.Spy.U *** Spy.a（瑞星）、TrojanSpy.USBSpy.a（江民）

蠕蟲大小：47,104字節

加殼方式：UPX

MD5：07adddef653a702b9a11edbcee07e82b

CRC32：100A382A

發作現象：

電腦開機時會自動彈出記事本，會生成wincfgs.exe、KB***********.exe等文件

行為分析：

1. 在註冊表中創建USBSpyRunMutex互斥量，避免重復感染。

2. 在系統中生成

C:\%system%\wincfgs.exe（系統、隱藏、只讀屬性）

C:\%WINDOWS%\KB***********.exe（大小66,560 字節，非病毒，是記事本程序）

3. 在註冊表中添加：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Load ＝“C:\windows\system32\wincfgs.exe”

4. 在移動設備中生成RECYCLER\RECYCLER目錄和autorun.inf，在這個目錄下生成autorun.exe、desktop.ini。

autorun.inf的內容：

[autorun]

open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open

shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe

shell\2\=Browser

shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe

autorun.exe同wincfgs.exe

desktop.ini的內容：

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

由此可見，當含有病毒的移動設備接入電腦時，蠕蟲會被自動運行。