收藏
下载资源

win7系统开启记事本

上传人:xiao****1972 文档编号:84905349 上传时间:2019-03-05 格式:DOC 页数:5 大小:40.50KB
返回 下载 相关 举报
win7系统开启记事本_第1页
第1页 / 共5页
win7系统开启记事本_第2页
第2页 / 共5页
win7系统开启记事本_第3页
第3页 / 共5页
win7系统开启记事本_第4页
第4页 / 共5页
win7系统开启记事本_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《win7系统开启记事本》由会员分享,可在线阅读,更多相关《win7系统开启记事本(5页珍藏版)》请在金锄头文库上搜索。

1、蠕虫简单分析:蠕虫名称:Worm.Win32.Delf.aj(AVP)蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)蠕虫大小:47,104字节加壳方式:UPXMD5:07adddef653a702b9a11edbcee07e82bCRC32:100A382A发作现象:电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件行为分析:1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。2. 在系统中生成C:%system%wincfgs.exe(系统、隐藏、只读属性)C:%WINDOWS

2、%KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)3. 在注册表中添加:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindowsLoad“C:windowssystem32wincfgs.exe”4. 在移动设备中生成RECYCLERRECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。autorun.inf的内容:autorunopen=.RECYCLERRECYCLERautorun.exeshell1=Openshell1Command=.RECYCLERR

3、ECYCLERautorun.exeshell2=Browsershell2Command=.RECYCLERRECYCLERautorun.exeshellexecute=.RECYCLERRECYCLERautorun.exeautorun.exe同wincfgs.exedesktop.ini的内容:.ShellClassInfoCLSID=645FF040-5081-101B-9F08-00AA002F954E由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项

4、,而是 wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。修改办法1、修改注册表a.运行“regedit”启动注册表编辑器;b.分别删除注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersio

5、nWindowsHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows下的Load注册表键里的键值内容。不放心的话可以搜索“wincfgs.exe”的注册表键并删除之2、删除文件%SystemRoot%system32wincfgs.exe%SystemRoot%KB20060111.exe3移动存储设备:连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点“open”),然后打开菜单栏的”工具”-”文件夹选项”-”查看 “,去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.

6、ini,wincfgs.exe和autorun.inf移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。还有个方便的方法 批处理删除注册表修改:复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)echo offtskill KB20060111tskill wincfgsdel %windir%kb20060111.exedel %windir%system32wincfgs.exereg delete “HKEY_CURRENT_USERSoftwareMicrosoftWindo

7、ws NTCurrentVersionWindows” /v “load” /freg add “HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows” /v “load” /t REG_SZ /d “” /f然后运行,完毕后重启电脑方法(一):1、打开任务管理器结束wincfgs进程。2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。(没有文件夹选项或者设置了但无法显示隐藏文件则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“注册表类”)。3、搜索硬盘删除KB20060111.exe(也许

8、文件名不同,在XP系统中是和记事本一样的蓝色图标,位置是C:WINDOWSKB20060111.exe),搜索硬盘删除wincfgs.exe(在XP系统中是黄色问号图标的隐藏系统文件,位置是C:windowssystem32wincfgs.exe)。XP系统的搜索方法:开始搜索文件或文件夹所有文件和文件夹要在“更多高级选项”选择“搜索系统文件夹、隐藏的文件和文件夹、子文件夹”输入文件名,只搜索系统盘(C盘)。4、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将“项、值、数据”这三个查找选项选上,搜索“KB20060111.exe”,删除找到的项/值,按F3键查找下一个并删除项/

9、值,直到搜索完毕。同理搜索删除“.RECYCLERRECYCLERautorun.exe”和“wincfgs.exe”的相关项/值。(提示注册表被锁定,无法打开注册表编辑器,则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“注册表类”)5、注册表-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun清理与wincfgs相关的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过)6、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显

10、示*,选择否。(没有看到wincfgs启动项则略过)7、结束。比如XP系统的则删除注册表以下项/子项:没有的话当然不用删除了!HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICacheC:windowssystem32wincfgs.exeC:WINDOWSKB20060111.exeHKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsloadHKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigst

11、artupregLoad方法(二):以下方法是用批处理删除文件、导入清理注册表:1、删除文件:记事本写下以下内容,点“文件另存为”,保存类型选择“所有文件”,文件名为1.bat,然后双击运行文件。echo offtskill wincfgsattrib -R -A -S -H C:windowssystem32wincfgs.exeattrib -R -A -S -H C:WINDOWSKB20060111.exedel C:windowssystem32wincfgs.exedel C:WINDOWSKB20060111.exetskill conimedel %0:=分界线=分界线=2、清

12、理注册表:记事本写下以下内容,点“文件另存为”,保存类型选择“所有文件”,文件名为1.reg,然后双击运行文件,运行后文件可以删除。(提示注册表被锁定,无法导入注册表,则是中了其他病毒,于该病毒无关,解决方法请看Virus病毒版的精华区的“注册表类”)。Windows Registry Editor Version 5.00HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICacheC:windowssystem32wincfgs.exe=-C:WINDOWSKB20060111.exe=-HKEY_CURRENT_USERSoftw

13、areMicrosoftWindows NTCurrentVersionWindowsload=-HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupregLoad#=分界线=分界线=3、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示*,选择否。(没有看到wincfgs启动项则略过)4、结束。 二、删除U盘/MP3上的开机弹出空记事本病毒体:1、设置一下能看到系统隐藏文件.2、打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN.3、打开U盘/MP3

14、后看到RECYCLER文件夹.删除.4、再删除autorun.inf就行了.5、杀了后正常拔出U盘,再插上就可以了.否则双击打开U盘出现“拒绝访问”。6、结束.、这个是“启动文件夹”里面的desktop.ini配置文件的属性问题。这个文件本来是具有“系统”和“隐藏”属性的,如果去掉了“系统”属性的话,就会出现你所描述的状况。解决办法:使用attrib +s +h命令重新加上“系统”和“隐藏”属性即可。具体操作要先找到这个文件所在的目录,如果是所有用户的话,就是C:ProgramDataMicrosoftWindowsStart MenuProgramsStartup,右键以管理员权限运行“命令提示符”,先使用cd命令进入这个目录,然后输入命令attrib +s +h desktop.ini即可。如果只是你现在使用的这个用户的话,就是 C:Users你的用户名AppDataRoami

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号