手动删除记事本病毒

<BR><FONT size=2>&nbsp; &nbsp; </FONT>
<P><FONT size=2>　　某用户反馈在接入自己的闪盘的计算机都会出现开机弹出无标题的记事本，很是烦人。 </FONT>
<P><FONT size=2>　　由于该用户提交样本时没有提交母体文件Wincfgs.exe，不能准确分析。只有分情况来讨论了。</FONT></P>
<P><FONT size=2>　　由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的，所以导致根源应该在闪盘上所存储的文件。</FONT></P>
<P><FONT size=2>　　1、蠕虫病毒的可能性：</FONT></P>
<P><FONT size=2>　　这个闪盘可能被感染有蠕虫病毒，在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况，不过蠕虫病毒至少需要激活，也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害，应该不至于称作蠕虫病毒，所以暂时定为Joke程序</FONT></P>
<P><FONT size=2>　　2、autorun.ini的小把戏：</FONT></P>
<P><FONT size=2>　　在这个闪盘中存储有autorun.ini，也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序，那么便会在双击打开闪盘的时候就激活了这个Joke程序。</FONT></P>
<P><FONT size=2>　　当激活了这个Joke程序应该会有如下行为：</FONT></P>
<P><FONT size=2>　　修改注册表项：</FONT></P>
<P><FONT size=2>　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows</FONT></P>
<P><FONT size=2>　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows</FONT></P>
<P><FONT size=2>　　下的名为Load的注册表键为：</FONT></P>
<P><FONT size=2>　　C:windowssystem32wincfgs.exe</FONT></P>
<P><FONT size=2>　　修改%SystemRoot%Notepad.exe文件的文件名为KB20060111.exe（或其它文件名），或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe（或其它文件名）。</FONT></P>
<P><FONT size=2>　　开机弹出的记事本便是这个KB20060111.exe文件了，诱发这个KB20060111.exe的启动可能不是常规启动项，而是wincfgs.exe这个文件启动（呼叫）KB20060111.exe文件的。</FONT></P>
<P><FONT size=2>　　就是说KB20060111.exe这个文件并非病毒或者Joke程序本身，其实KB20060111.exe就是一个记事本程序（这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故）。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。</FONT></P>
<P><FONT size=2>　　那么解决办法就出来了：</FONT></P>
<P><FONT size=2>　　1、修改注册表</FONT></P>
<P><FONT size=2>　　a.运行“regedit”启动注册表编辑器；</FONT></P>
<P><FONT size=2>　　b.分别删除注册表项</FONT></P>
<P><FONT size=2>　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows</FONT></P>
<P><FONT size=2>　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindows</FONT></P>
<P><FONT size=2>　　下的Load注册表键里的键值内容。</FONT></P>
<P><FONT size=2>　　不放心的话可以搜索“wincfgs.exe”的注册表键并删除之</FONT></P>
<P><FONT size=2>　　由于没有得到wincfgs.exe样本文件，所以无法准确判断有关注册表项，但是可以直接使用Hijackthis修复类似这个项目：</FONT></P>
<P><FONT size=2>　　F3-REG:win.ini:load=C:windowssystem32wincfgs.exe</FONT></P>
<P><FONT size=2>　　2、删除文件</FONT></P>
<P><FONT size=2>　　%SystemRoot%system32wincfgs.exe</FONT></P>
<P><FONT size=2>　　%SystemRoot%KB20060111.exe</FONT></P>
<P><FONT size=2>　　上述是解决被感染的计算机的解决办法，下面还要处理一下有问题的移动存储设备：</FONT></P>
<P><FONT size=2>　　打开移动存储设备下的autorun.ini文件，查看其中指定的文件是哪个并且删除这个文件。</FONT></P>
<P><FONT size=2>　　删除移动存储设备下的autorun.ini文件，这个文件一般是隐藏的，所以需要设置文件夹选项为显示所有文件和文件夹选项的。</FONT></P> <BR>