问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

我在开机的时候,'我的文档'会自动弹出来,让机子很卡,在'启动'里又没有'我的文档',该怎么解决

发布网友 发布时间:2022-05-11 10:02

我来回答

1个回答

热心网友 时间:2023-10-10 23:37

蠕虫简单分析]:

蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A

[发作现象]:

电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件

[行为分析]:

1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load=“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。

autorun.inf的内容:

[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe

autorun.exe同wincfgs.exe

desktop.ini的内容:

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。

[修改办法]
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移动存储设备:
连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点“open”),然后打开菜单栏的"工具"->"文件夹选项"->"查看",去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf
移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。。

还有个方便的方法 批处理删除注册表修改:
复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)

echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f

然后运行,完毕后重启电脑

[结束语]
终于又搞定了一个病毒,同WORM作斗争可是其乐无穷啊
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
电脑文件编辑好如何发送给微信如何把电脑上的文件发到微信上 笔记本电脑上的文件发送到微信怎么把电脑里的文件传到手机微信 我每天早晨吃米糊放白糖有害吗? 吃糖太多对我有好处么! 适合明年工作计划开头的句子 让人耳目一新的年度工作计划开头句子锦集五十四句 个人年度工作计划开头优美句子 让上司眼前一亮的工作计划开头语收藏四十一句 工作计划开头 怎么写工作计划开头 新干线0系电动列车的运行设备 电脑开机显示我的文档是怎么回事 我的笔记本每次打开都会弹出我的文档怎么弄啊 为什么电脑老是自动弹出本地磁盘D,backup,我的文档? 火红红是abb词语吗? abb式的颜色词语有吗? 红亮亮是abb词语吗 死尸不离寸地是什么意思? 老死尸是什么意思 赛恩斯翻译硕士论文会很困难吗? 北大翻译硕士好考吗 女的骂男的死尸到底是啥意思啊? 我想要报考苏州大学的翻译硕士。但是关于要看哪些书做些什么准备一点头绪没有 考研 上外高翻MTI翻译硕士 骂人死尸是啥意思啊? 想考苏州大学的翻译硕士,看了去年的简章,没有写参考书,具体怎么复习啊? 请问骂人死尸的意思是啥? MTI是什么? 考翻译硕士和翻译方向的研究生有什么区别没,谢谢了 翻译硕士方面问题 有谁知道oppor9s信号怎样? 从贵港出发到三亚怎么走最省钱,最舒服? 贵港到三亚怎么走自驾多少费用 求去三亚旅游回广西贵港平南最合理省钱的交通工具。 从贵港去夏令营三亚大概要多少钱?在哪里更加省钱五日游 有从贵港到海南的火车吗?想从贵港去海南怎么去? 广西贵港至三亚自驾车有多少公里过路费多少 我的matebook x pro顶配想更换一个更好的显卡能去华为的官方维修店去换吗如果不能换用什么方法解决呢? 有谁知道,在excel中作直方图时填充图案,要求不全填满,留点空白。如下图片中图案,上面留点怎么做?谢谢 豆浆机使用后,如何快速清洗? 豆浆机内胆可以用钢丝球刷吗?刷了以后会有什么影响呢? 微信怎么设置隐藏,不让好友看到? 睡衣包边一般用什么布料 哪里有卖洗九阳豆浆机的刷子 对于敏感的皮肤而言,该如何选择睡衣的面料呢? 豆浆机筛网怎么能刷干净。 谁知道照片怎么样可以添加背景? 微信怎么设置隐藏,不让好友看到? 为什么叫华东地区 什么是华东?? 华东地区是哪些省??
懂视 51dongshi.com 版权所有
Copyright © 2019-2024