win7系统开启记事本

《win7系统开启记事本》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、［蠕虫简单分析］:蠕虫名称:Worm.Win32.Delf.aj（AVP）蠕虫别名:Trojan.Spy.UsbSpy.a（瑞星）、TrojanSpy.USBSpy.a（江民）蠕虫大小：47,104字节加壳方式：UPX653a9aMD5：07adddef702blledbcee07e82b100A382ACRC32：[发作现象]:电脑开机时会口动弹出记事本，会生成wincfgs.exesKB20060111.exe等文件[行为分析]:1.在注册表中创建USBSpyRunMutex互斥量，避免重复感染。2•在系统中生成C:%system%w

2、incfgs.exe（系统、隐藏、只读屈性）C:%WINDOWS%KB20060111.exe（大小66,560字节,非病毒，是记事本程序）3.在注册表中添加：HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWindowsLoad="C:windowssystem32wincfgs.exe"4.在移动设备中生成RECYCLERRECYCLER目录和autorun.inf,在这个目录下生成autorun.exe.desktop.ini。autorun.inf的内容：[autorun

3、]open=.RECYCLERRECYCLERautorun.exeshelll=OpenshelllCommand=.RECYCLERRECYCLERautorun.exeshell2=Browsershell2Command=.RECYCLERRECYCLERautorun.exeshellexecute=.RECYCLERRECYCLERautorun.exeautorun.exe同wincfgs.exedesktop.ini的内容：[.ShellClassInfo]-9F002FCLSID={64

4、5FF040-5081-101B08-00AA954E}由此可见，当含有病毒的移动设备接入电脑时，蠕虫会被自动运行。开机弹出的记事本便是这个KB20060111.exe文件了，诱发这个KB20060111.exe的启动可能不是常规启动项，而是wincfgs.exe这个文件启动（呼叫）KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身，其实KB20060111.exe就是一个记事本程序（这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故）。另外没有清理win

5、cfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。［修改办法］1、修改注册表a.运行"regedit"启动注册表编辑器;b.分别删除注册表项HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows下的Load注册表键里的键值内容。不放心的话可以搜索“wincfgs.exe"的注册表键并删除

6、之2、删除文件%SystemRoot%system32wincfgs.exe%SystemRoot%KB20060111.exe3移动存储设备：连接好USB后，打开我的电脑，点右键选择打开（不要直接点击打开或点“open"）,然后打开菜单栏的〃工具〃」〃文件夹选项〃查看“,去掉"隐藏受保护的系统文件（推荐）〃前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf移动硬盘的手动删除每个盘符卜面的desktop.ini,wincfgs.exe和autorun.inf文件。。还有个方便的方法批处理删除

7、注册表修改：复制下面文字到记事本，另存为"Wincfgs_kill.bat"（注意保存时选择文件类型为“所有文件〃）echoofftskillKB20060111tskillwincfgsdel%windir%kb20060111.exedel%windir%system32wincfgs.exeregdeletezzHKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsz,/v"load"/fregadd,zHKEY_CURRENT_USERSoft

8、wareMicrosoftWindowsNTCurrentVersionWindows,//v"load"/tREG_SZ/d""/f然后运行，完毕后重启电