[分享]：开机就弹记事本病毒wincfgs.exe的查杀方法

胡熊

开机就弹记事本病毒wincfgs.exe的查杀方法

昨天业务单位的人在我的机器上拷点东西，没想今天开机就弹出个空白记事本，重复开机了几次，每次都弹出个空白记事本，知道中招了，上网查了下，还真有这事。


此现象是蠕虫行为，这个蠕虫目前绝大多数的主流杀毒软件都可以查杀！（我的咔吧试剂杀不了它，只能把它一删了之）
蠕虫名称：Worm.Win32.Delf.aj（AVP）

蠕虫别名：Trojan.Spy.UsbSpy.a（瑞星）、TrojanSpy.USBSpy.a（江民）

蠕虫大小：47,104字节

加壳方式：UPX

MD5：07adddef653a702b9a11edbcee07e82b

CRC32：100A382A

发作现象：

电脑开机时会自动弹出记事本，会生成wincfgs.exe、KB20060111.exe等文件

行为分析：

1. 在注册表中创建USBSpyRunMutex互斥量，避免重复感染。

2. 在系统中生成

C:\%system%\wincfgs.exe（系统、隐藏、只读属性）
C:\%WINDOWS%\KB20060111.exe（大小66,560 字节，非病毒，是记事本程序）

3. 在注册表中添加：

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Load ＝“C:\windows\system32\wincfgs.exe”

4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf，在这个目录下生成autorun.exe、desktop.ini。

autorun.inf的内容：

[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe

shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe



autorun.exe同wincfgs.exe

desktop.ini的内容：

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

由此可见，当含有病毒的移动设备接入电脑时，蠕虫会被自动运行。

解决方法：
一。
1. 启动 Windows 资源管理器。
2. 在“工具”菜单上，单击“文件夹选项”，然后单击“查看”选项卡。
3. 在“高级设置”框中，单击以清除“隐藏已知文件类型的扩展名”复选框和“隐藏受保护的cao作系统文件”复选框（如果尚未清除），然后单击“确定”。找出病毒铲出，wincfgs.exe（系统、隐藏、只读属性），KB20060111.exe（大小66,560 字节，是记事本图标）。
4.运行msconfig删除该启动项
二.移动设备解决方法(以优盘为例)：

连接好USB后，打开我的电脑，点右键选择打开（不要直接点击打开或点“open”）,然后打开菜单栏的"工具"->"文件夹选项"->"查看"，去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini，wincfgs.exe和autorun.inf

移动硬盘的手动删除每个盘符下面的desktop.ini，wincfgs.exe和autorun.inf文件。

☆─────────────────────────────────────☆

(以XP系统为例，其他系统略同，XP系统才有msconfig，2000没有！)
☆─────────────────────────────────────☆

方法(一)：

1、打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。（没有文件夹选项或者设置了但无法显示隐藏文件则是中了其他病毒，于该病毒无关，解决方法请看Virus病毒版的精华区的“〖注册表类〗”）。
3、搜索硬盘删除KB20060111.exe（也许文件名不同，在XP系统中是和记事本一样的蓝色图标，位置是C:\WINDOWS\KB20060111.exe），搜索硬盘删除wincfgs.exe（在XP系统中是黄色问号图标的隐藏系统文件，位置是C:\windows\system32\wincfgs.exe）。

XP系统的搜索方法：开始－搜索－文件或文件夹－所有文件和文件夹－要在“更多高级选项”选择“搜索系统文件夹、隐藏的文件和文件夹、子文件夹”－输入文件名，只搜索系统盘(C盘)。

4、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将“项、值、数据”这三个查找选项选上，搜索“KB20060111.exe”，删除找到的项/值，按F3键查找下一个并删除项/值，直到搜索完毕。同理搜索删除“.\RECYCLER\RECYCLER\autorun.exe”和“wincfgs.exe”的相关项/值。（提示注册表被锁定，无法打开注册表编辑器，则是中了其他病毒）
5、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除，如果没有看到wincfgs相关项则略过)
6、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***，选择否。(没有看到wincfgs启动项则略过)
7、结束。

☆─────────────────────────────────────☆

比如XP系统的则删除注册表以下项/子项：没有的话当然不用删除了！！！

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load

☆─────────────────────────────────────☆

方法(二)：
以下方法是用批处理删除文件、导入清理注册表：

1、删除文件：记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为1.bat，然后双击运行文件。

@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
tskill conime
del %0

2、清理注册表：记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为1.reg，然后双击运行文件，运行后文件可以删除。（提示注册表被锁定，无法导入注册表，则是中了其他病毒，于该病毒无关，解决方法请看Virus病毒版的精华区的“〖注册表类〗”）。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\windows\system32\wincfgs.exe"=-
"C:\WINDOWS\KB20060111.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]

3、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***，选择否。(没有看到wincfgs启动项则略过)

4、结束。

         

☆─────────────────────────────────────☆

二、删除U盘/MP3上的开机弹出空记事本病毒体：

1、设置一下能看到系统隐藏文件.
2、打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN.
3、打开U盘/MP3后看到RECYCLER文件夹.删除.
4、再删除autorun.inf就行了.
5、杀了后正常拔出U盘，再插上就可以了.否则双击打开U盘出现“拒绝访问”。


☆─────────────────────────────────────☆

方法罗罗嗦嗦有点繁，还是找个工具，见下图

胡熊

专杀工具，要把“删除U盘病毒”勾打上。