解析:
開機自動打開記事本的解決方法
最近我的兩個同學的本本相繼出現開機自動打開記事本的狀況,覺得蹊蹺上網找了下這是方法,絕對管用!每次開機,都會彈出壹個空白記事本(但是運行msconfig啟動項,又沒的提示加載記事本)。雖然沒多大影響,但感覺肯定是有問題。偶移動硬盤(或優盤)插到USB口時,點擊盤符進入時,也會彈出空白記事本。隨後,瑞星註冊表監控程序顯示將修改為“HKEY_CURRENT_USER\Sofare\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe”。
會在每個磁盤根目錄下面生成壹個desktop.ini(移動設備有的會創建autorun.inf).
解決方法:(可到這裏下載批處理附件--解決開機自動打開記事本,直接壹次解決)
1.批處理刪除註冊表修改:
復制下面文字到記事本,另存為“Wincfgs_kill.bat”(註意保存時選擇文件類型為“所有文件”)
echo off
tskill KB***********
tskill wincfgs
del %windir%\kb***********.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Sofare\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
2.移動設備解決方法(以優盤為例):
連接好USB後,打開我的電腦,點右鍵選擇打開(不要直接點擊打開或點“open”),然後打開菜單欄的"工具"->"文件夾選項"->"查看",去掉“隱藏受保護的系統文件(推薦)”前面的勾。刪除掉優盤裏面的desktop.ini,wincfgs.exe和autorun.inf
移動硬盤的手動刪除每個盤符下面的desktop.ini,wincfgs.exe和autorun.inf文件。 另外壹種手動解決方法傳播途徑:U盤等移動存儲危害性:暫無破壞性,只是開機跳出記事本,殺毒軟件不能查出病毒。
手動刪除方法:
用任務管理器或者木馬殺客或者HijackThis結束wincfgs進程,
刪除C:\WINDOWS\KB***********.exe(也許文件名不同,和記事本壹樣的藍色圖標)
和C:\windows\system32\wincfgs.exe(黃色問號圖標的隱藏系統文件)。
開始-運行-regedit,進入註冊表,搜索註冊表刪除wincfgs.exe
比如刪除註冊表以下項/子項:沒有的話當然不用刪除了!!!
HKEY_CURRENT_USER\Sofare\Microsoft\Windows\ShellNoRoam\MUICacheNcB)1Z
C:\WINDOWS\KB***********.exec>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load=b*DZs
再運行msconfig或者在[HKEY_CURRENT_USER\Sofare\Microsoft\Windows\CurrentVersion\Run]項清理開機啟動項。 此現象是蠕蟲行為,特此提醒廣大網友警惕。
這個蠕蟲目前絕大多數的主流殺毒軟件都可以查殺,請發現此現象的朋友升級殺毒軟件進行殺毒!
以下是對此蠕蟲做的壹些簡單分析:蠕蟲名稱:Worm.Win32.Delf.aj(AVP)
蠕蟲別名:Trojan.Spy.U *** Spy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕蟲大小:47,104字節
加殼方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A
發作現象:
電腦開機時會自動彈出記事本,會生成wincfgs.exe、KB***********.exe等文件
行為分析:
1. 在註冊表中創建USBSpyRunMutex互斥量,避免重復感染。
2. 在系統中生成
C:\%system%\wincfgs.exe(系統、隱藏、只讀屬性)
C:\%WINDOWS%\KB***********.exe(大小66,560 字節,非病毒,是記事本程序)
3. 在註冊表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Load =“C:\windows\system32\wincfgs.exe”
4. 在移動設備中生成RECYCLER\RECYCLER目錄和autorun.inf,在這個目錄下生成autorun.exe、desktop.ini。
autorun.inf的內容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的內容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可見,當含有病毒的移動設備接入電腦時,蠕蟲會被自動運行。