2007/04/28
开机弹出无标题的记事本
关键字词:无标题的记事本 开机弹出记事本 wincfgs.exe KB20060111.exe
近日在HelpOnline论坛中碰到如此案例,某用户反馈在接入自己的闪盘的计算机都会出现开机弹出无标题的记事本,很是烦人。
由于该用户提交样本时没有提交母体文件Wincfgs.exe,不能准确分析。只有分情况来讨论了。
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的,所以导致根源应该在闪盘上所存储的文件。
1、蠕虫病毒的可能性:
这个闪盘可能被感染有蠕虫病毒,在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况,不过蠕虫病毒至少需要激活,也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害,应该不至于称作蠕虫病毒,所以暂时定为Joke程序
2、autorun.ini的小把戏:
在这个闪盘中存储有autorun.ini,也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序,那么便会在双击打开闪盘的时候就激活了这个Joke程序。
当激活了这个Joke程序应该会有如下行为:
修改注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名为Load的注册表键为:
C:\windows\system32\wincfgs.exe
修改%SystemRoot%\Notepad.exe文件的文件名为KB20060111.exe(或其它文件名),或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe(或其它文件名)。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。
就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么 KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备 可能会再次传染这个移动存储设备。
那么解决办法就出来了:
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
由于没有得到wincfgs.exe样本文件,所以无法准确判断有关注册表项,但是可以直接使用Hijackthis修复类似这个项目:
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
上述是解决被感染的计算机的解决办法,下面还要处理一下有问题的移动存储设备:
打开移动存储设备下的autorun.ini文件,查看其中指定的文件是哪个并且删除这个文件。
删除移动存储设备下的autorun.ini文件,这个文件一般是隐藏的,所以需要设置文件夹选项为显示所有文件和文件夹选项的。
发表评论