急切求助!
參考答案:病毒文件:wincfgs.exe
病毒名称:Trojanspy.USBpy.a
相关症状:开机自动弹记事本,修改系统启动项,咖啡等部分软件没有反应
传播途径:U盘等移动存储
危害性:暂无破坏性,只是开机跳出记事本。
推荐杀毒方式:手动查杀
1.在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB***********.exe(大小66,560 字节,非病毒,是记事本程序)
2.在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Load =“C:\windows\system32\wincfgs.exe”
3.在移动设备中生成
RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容:autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
当含有病毒的移动设备接入电脑时,蠕虫会被自动运行
清除步骤
1、打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。
3、删除C:\windows\KB***********.exe(也许文件名不同,和记事本一样的蓝色图标)。
4、删除C:\windows\system32\wincfgs.exe(黄色问号图标的隐藏系统文件)。
5、开始-运行-regedit-进入注册表编辑器
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache C:\WINDOWS\KB***********.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load
编辑-查找-记得将"项、值、数据"这三个查找选项选上,搜索"KB***********.exe",删除找到的项/值,
按F3键查找下一个并删除项/值,直到搜索完毕。同理搜索删除".\RECYCLER\RECYCLER\autorun.exe"和
"wincfgs.exe"的相关项/值。
6、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关
的开机启动项。(因为第5步已经删除,如果没有看到wincfgs相关项则略过)
7、开始-运行-msconfig-点最后的"启动"-取消"wincfgs"-确定-重启-重启后问你是否每次开机都显示,
选择否。(没有看到wincfgs启动项则略过)
8、结束。
