逐梦论坛's Archiver

shillan 发表于 2006-10-6 08:55

开机弹出无标题的记事本的解决

关键词:无标题的记事本 开机弹出记事本 wincfgs.exe kb20060111.exe autorun.exe trojanspy.usbspy.a worm.usbspy.aj.42868 trojan.spy.usbspy.a worm/delf.aj.1 trojan.agent.aae worm.win32.delf.aj

[color=blue]现象:[/color]计算机开机弹出“无标题-记事本”。

[color=green]原因:[/color]中了wincfgs.exe病毒。

病毒文件:wincfgs.exe (c:\windows\system32\wincfgs.exe)

病毒名称:trojanspy.usbpy.a

相关症状:开机自动弹出记事本,修改系统启动项,咖啡等部分软件没有反应

传播途径:u盘等移动存储

危害性:暂无破坏性,只是开机跳出记事本。


当激活了这个程序应该会有如下行为:

【创建注册表项】
hkey_local_machine\software\microsoft\windows nt\currentversion\windows
hkey_current_user\software\microsoft\windows nt\currentversion\windows
修改其下的名为load注册表键的键值内容为“c:\windows\system32\wincfgs.exe”

【创建文件】
c:\windows\system32\wincfgs.exe(注释:和在移动存储设备中的autorun.exe是同一个文件)
c:\windows\kb20060111.exe(注释:纯粹是一个记事本程序)

【写入移动存储设备】
在移动存储设备中生成autorun.inf,其中的内容为
----------------------------------------------------
[autorun]
open=.\recycler\recycler\autorun.exe
shell\1=open
shell\1\command=.\recycler\recycler\autorun.exe
shell\2\=browser
shell\2\command=.\recycler\recycler\autorun.exe
shellexecute=.\recycler\recycler\autorun.exe

----------------------------------------------------
并且在移动存储设备中生成名为recycler的文件夹,在其下再生成名为recycler的文件夹,在这个文件夹下生成desktop.ini文件,内容如下
----------------------------------------------------
[.shellclassinfo]
clsid={645ff040-5081-101b-9f08-00aa002f954e}
----------------------------------------------------
这个desktop.ini将第二个recycler文件夹伪装成回收站,在第二个recycler文件夹中便存储着autorun.exe文件。

正是当接入移动存储设备后autorun.inf文件激活autorun.exe文件以至于中毒。

[color=red]解决:[/color]
1、打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示受保护的操作系统文件及隐藏文件。
3、删除c:\windows\kb20060111.exe(也许文件名不同,和记事本一样的蓝色图标)。
4、删除c:\windows\system32\wincfgs.exe(黄色问号图标的隐藏系统文件)。
5、运行“regedit”启动注册表编辑器,分别删除注册表项 hkey_current_user\software\microsoft\windows nt\currentversion\windows hkey_local_machine\software\microsoft\windows nt\currentversion\windows
下的load注册表键里的键值内容(请不要将load注册表键一并删除)。
6、注册表编辑器-编辑-查找-记得将"项、值、数据"这三个查找选项选上,搜索"kb20060111.exe",删除找到的项/值,按f3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除".\recycler\recycler\autorun.exe"和 "wincfgs.exe"的相关项/值。
6、注册表-[hkey_current_user\software\microsoft\windows\currentversion\run]清理与wincfgs相关的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过)
7、开始-运行-msconfig-点最后的"启动"-取消"wincfgs"-确定-重启-重启后问你是否每次开机都显示……,选择否。(没有看到wincfgs启动项则略过)
8、结束。


上述是解决被感染的计算机的办法,下面还要处理一下有问题的移动存储设备:
连接好usb设备后,打开我的电脑,点右键选择“打开”(不要直接点击打开或点“open”),然后打开菜单栏的"工具"->"文件夹选项"- >"查看",去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和 autorun.inf
移动硬盘里手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。

还有个方便的方法 批处理删除注册表项:
复制下面文字到记事本,另存为“wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)
echo off
tskill kb20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "hkey_current_user\software\microsoft\windows nt\currentversion\windows" /v "load" /f
reg add "hkey_current_user\software\microsoft\windows nt\currentversion\windows" /v "load" /t reg_sz /d "" /f

然后运行,完毕后重启电脑。


bat文件下载:[img]http://www.zhumeng.org/attachments/fileType/rar.gif[/img]此主题相关文件 [url=http://www.zhumeng.org/attachments/2006/10/06/090011.rar]090011.rar[/url]

专杀工具下载:[img]http://www.zhumeng.org/attachments/fileType/rar.gif[/img]此主题相关文件 [url=http://www.zhumeng.org/attachments/2006/10/06/090037.rar]090037.rar[/url]


[b]附:[/b]
1、注意:recycler文件夹不一定是病毒生成的!

nt架构的系统(指windows nt/2000/xp/2003)会为系统中的每个用户建立各自的回收站文件,如果分区文件系统是ntfs,则会保存在“recycler”这个文件夹中,分别以每个用户的sid(用户安全标识符,用来代表用户,任何两个用户的标识符都不一样)做回收站的名字,就是类似“s-1-5-21-3643067059-557091897-448451853-500”这样的名字。查看“recycler”文件夹里面的每一个回收站,发现都是当前用户的回收站里面的文件。那么怎么看到每个回收站里面实际的文件呢?在“运行”输入“cmd”,进入e盘,输入“cd \recycler”,然后输入“dir /a /s”。其中回收站文件夹即为“s-1-5-21-3643067059-557091897-448451853-500”这种类型的文件。

重装操作系统时,由于新建的回收站文件夹的名字和以前的截然不同,那么每次清空回收站时,都只能清空新建的回收站,而原来操作系统遗留下来的回收站却无法清空,导致白白浪费硬盘空间。(不过俺有常清理回收站的习惯所以基本上是空的,不过在ntfs格式下的recycler还有着以前的留下的回收站,所以还是确定删掉)

打开资源管理器,进入“recycler”文件夹,选中要清理的回收站文件夹“s-1-5-21-3643067059-557091897-448451853-500”,同时按shift键和del键,删除整个回收站文件夹,对于“recycler”文件夹的每一个回收站也都这样处理。或选中“recycler”文件夹,同时按shift+del组合键。删掉所有的回收站后,会报一个警告:不能删除系统文件夹recycler,不用理睬,这是正常的。把reclycler删掉后.让系统重建.


2、建议先把 光盘自动播放 这个功能关掉,不然可能开了机又会出现。
关自动播放方法如下:

一、属性设置法

  如果你要关闭单个移动存储设备的“自动播放”功能,操作步骤如下:

  1、单击“开始→我的电脑”;

  2、在“有可移动存储的设备”下,右键单击需要的设备,如数码相机或cd-rom驱动器,然后单击“属性”;

  3、单击“自动播放”选项卡,再单击“要更改的多媒体内容”,然后选中“选择一个操作来执行”复选钮,再单击“不执行操作”。对其他的多媒体类型,重复该步骤,最后“确定”。

  对于光驱以外的可移动存储设备,必须在连接到计算机时,它才会出现在“我的电脑”的“移动存储设备”下。

  二、组策略法

  如果你想一次全部禁用windows xp的自动播放功能,那么请按下述步骤操作:

  1、单击“开始→运行”,在“打开”框中,键入“gpedit.msc”,单击“确定”按钮,打开“组策略”窗口;

  2、在左窗格的“本地计算机策略”下,展开“计算机配置→管理模板→系统”,然后在右窗格的“设置”标题下,双击“关闭自动播放”;

  3、单击"设置"选项卡,选中"已启用"复选钮,然后在"关闭自动播放"框中单击"所有驱动器",单击"确定"按钮,最后关闭"组策略"窗口。

      在"用户配置"中同样也存在这个"关闭自动播放"设置。但"计算机配置"中的设置比"用户配置"中的设置优先。需要注意的是:"关闭自动播放"设置并不能够阻止自动播放音乐cd盘。要阻止音乐cd的自动播放,你就只有使用"属性设置法"了。

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.