最近我的电脑一开机就自动运行记事本文档,请问是中了什么病毒?怎么删除?谢谢
发布网友
发布时间:2022-05-27 04:22
共6个回答
热心网友
时间:2023-10-08 19:07
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的,所以导致根源应该在闪盘上所存储的文件。这个闪盘可能被感染有蠕虫病毒,在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况,不过蠕虫病毒至少需要激活,也就是执行一下这个蠕虫病毒.
[蠕虫简单分析]:
蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A
[发作现象]:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
[行为分析]:
1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load=“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。
[修改办法]
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移动存储设备:
连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点“open”),然后打开菜单栏的"工具"->"文件夹选项"->"查看",去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf
移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。。
还有个方便的方法 批处理删除注册表修改:
复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然后运行,完毕后重启电脑
热心网友
时间:2023-10-08 19:07
复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然后运行,完毕后重启电脑
热心网友
时间:2023-10-08 19:08
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。
3、删除C:\windows\KB20060111.exe(也许文件名不同,和记事本一样的蓝色图标)。
4、删除C:\windows\system32\wincfgs.exe(*问号图标的隐藏系统文件)。
5、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将"项、值、数据"这三个查找选项选上,搜索"KB20060111.exe",删除找到的项/值,按F3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除".\RECYCLER\RECYCLER\autorun.exe"和 "wincfgs.exe"的相关项/值。
6、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过)
7、开始-运行-msconfig-点最后的"启动"-取消"wincfgs"-确定-重启-重启后问你是否每次开机都显示***,选择否。(没有看到wincfgs启动项则略过)
8、结束。
热心网友
时间:2023-10-08 19:08
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。
3、删除C:\windows\KB20060111.exe(也许文件名不同,和记事本一样的蓝色图标)。
4、删除C:\windows\system32\wincfgs.exe(*问号图标的隐藏系统文件)。
5、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将"项、值、数据"这三个查找选项选上,搜索"KB20060111.exe",删除找到的项/值,按F3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除".\RECYCLER\RECYCLER\autorun.exe"和 "wincfgs.exe"的相关项/值。
6、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过)
7、开始-运行-msconfig-点最后的"启动"-取消"wincfgs"-确定-重启-重启后问你是否每次开机都显示***,选择否。(没有看到wincfgs启动项则略过)
热心网友
时间:2023-10-08 19:09
开始-运行-msconfig-点最后的"启动"-取消"wincfgs"-确定-重启-重启后问你是否每次开机都显示,选择否。
热心网友
时间:2023-10-08 19:10
