開機彈出無標題的記事本
]開機彈出無標題的記事本
關鍵字詞:無標題的記事本 開機彈出記事本 wincfgs.exe KB20060111.exe
近日在HelpOnline論壇中碰到如此案例,某用戶反饋在接入自己的Fast Rom碟的電腦都會出現開機彈出無標題的記事本,很是煩人。
由於該用戶提交樣本時沒有提交母體文件Wincfgs.exe,不能準確分析。只有分情況來討論了。
由於這種情況都是在使用了諸如Fast Rom碟的移動儲存於的電腦出現的,所以導致根源應該在Fast Rom碟上所儲存於的文件。
1、蠕蟲病毒的可能性:
這個Fast Rom碟可能被感染有蠕蟲病毒,在接入別的電腦上便會使得該電腦出現這種開機彈出無標題的記事本的情況,不過蠕蟲病毒至少需要啟動,也就是執行一下這個蠕蟲病毒。但僅僅從症狀來看又沒有什麼危害,應該不至於稱作蠕蟲病毒,所以暫時定為Joke程序
2、autorun.ini的小把戲:
在這個Fast Rom碟中儲存於有autorun.ini,也就是上面提到的可以用於啟動程序的原因。如果autorun.ini中指定了程序,那麼便會在雙按開啟Fast Rom碟的時候就啟動了這個Joke程序。
當啟動了這個Joke程序應該會有如下行為:
修改註冊表項:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名為Load的註冊表鍵為:
C:\windows\system32\wincfgs.exe
修改%SystemRoot%\Notepad.exe文件的檔案名為KB20060111.exe(或其它檔案名),或者只是複製了一份Notepad.exe文件並命名為KB20060111.exe(或其它檔案名)。
開機彈出的記事本便是這個KB20060111.exe文件了,誘發這個KB20060111.exe的啟動可能不是一般啟動項,而是wincfgs.exe這個文件啟動(呼叫)KB20060111.exe文件的。
就是說KB20060111.exe這個文件並非病毒或者Joke程序本身,其實KB20060111.exe就是一個記事本程序(這也就是為什麼KB20060111.exe文件的圖示也是一個記事本程序的圖示的緣故)。另外沒有清理wincfgs.exe的電腦再次接入一個乾淨的移動儲存於設備可能會再次傳染這個移動儲存於設備。
那麼解決辦法就出來了:
1、修改註冊表
a.執行「regedit」啟動註冊表編輯器;
b.分別移除註冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load註冊表鍵裡的鍵值內容。
不放心的話可以搜尋「wincfgs.exe」的註冊表鍵並移除之
由於沒有得到wincfgs.exe樣本文件,所以無法準確判斷有關註冊表項,但是可以直接使用Hijackthis修復類似這個項目:
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe
2、移除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
上述是解決被感染的電腦的解決辦法,下面還要處理一下有問題的移動儲存於設備:
開啟移動儲存於設備下的autorun.ini文件,檢視其中指定的文件是哪個並且移除這個文件。
移除移動儲存於設備下的autorun.ini文件,這個文件一般是隱藏的,所以需要設定資料夾選項為顯示所有文件和資料夾選項的。
Blog Tags: wincfgs.exe KB20060111.exe 記事本
|