Parece que mi computadora ha sido infectada con un virus en los últimos dos días. Cada vez que la enciendo, aparece un texto parecido a un bloc de notas. ¿Cómo puedo solucionarlo?
Aparece un bloc de notas sin título tan pronto como se enciende la computadora, pero cuando ejecuto el elemento de inicio de msconfig, no aparece ningún mensaje para cargar el bloc de notas cuando el disco duro móvil (o unidad flash USB) Se inserta en el puerto USB y hace clic en la letra de la unidad para ingresar. También aparecerá un bloc de notas en blanco. De vez en cuando, el sistema responde lentamente; aunque no afecta seriamente el proceso del sistema ni la velocidad de ejecución, siempre hace que la gente se sienta incómoda. Así que revisé en línea y encontré algunos consejos (enumerados más adelante). La mayoría de los datos provienen de Internet. )).
Dado que esta situación ocurre en computadoras que usan almacenamiento extraíble, como unidades flash, la causa principal deberían ser los archivos almacenados en las unidades flash. Este disco flash puede estar infectado con un virus gusano. Cuando se conecta a otra computadora, aparecerá un bloc de notas sin título en la computadora. Sin embargo, al menos el virus gusano debe estar activado, es decir, el virus gusano debe ejecutarse
[Análisis simple de gusanos]:
Nombre del gusano: Worm.Win32.Delf.aj (AVP)
Alias del gusano: Trojan.Spy.UsbSpy.a ( Rising), TrojanSpy.USBSpy.a (Jiangmin)
Tamaño del gusano: 47.104 bytes
Método de empaquetado: UPX
MD5: 07adddef653a702b9a11edbcee07e82b
p>CRC32: 100A382A
[Fenómeno de ocurrencia]:
El Bloc de notas aparecerá automáticamente cuando se encienda la computadora y se borrarán wincfgs.exe, KB20060111.exe y otros archivos. generado
[Análisis de comportamiento]:
1. Cree un mutex USBSpyRunMutex en el registro para evitar infecciones repetidas.
2. Generar en el sistema
C:\%system%\wincfgs.exe (sistema, atributo oculto, de solo lectura)
C:\ % WINDOWS%\KB20060111.exe (tamaño 66.560 bytes, no es un virus, es un programa de bloc de notas)
3. Agregar al registro:
HKLM\SOFTWARE\Microsoft\Windows. NT \CurrentVersion\Windows\Load="C:\windows\system32\wincfgs.exe"
4. Genere el directorio RECYCLER\RECYCLER y autorun.inf en el dispositivo móvil y genere autorun.exe en este directorio, escritorio.ini.
Contenido de autorun.inf:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\ 1=Abrir
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Navegador
shell\2\Command =.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe es lo mismo que wincfgs.exe
Contenido del escritorio de .ini:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
Se puede ver que cuando contiene un virus al conectar el dispositivo móvil al ordenador, el gusano se ejecutará automáticamente.
El bloc de notas que aparece al iniciar es el archivo KB20060111.exe. El inicio de KB20060111.exe puede no ser un elemento de inicio normal, sino el archivo wincfgs.exe que inicia (llama) a KB20060111.exe. archivo. . Es decir, el archivo KB20060111.exe no es un virus ni el programa Joke en sí. De hecho, KB20060111.exe es un programa Bloc de notas (por eso el icono del archivo KB20060111.exe es también el icono del programa Bloc de notas). ). Además, una computadora que no haya limpiado wincfgs.exe y lo conecte a un dispositivo de almacenamiento móvil limpio puede infectar el dispositivo de almacenamiento móvil nuevamente.
[Método de modificación]
1. Modificar el registro
a. Ejecute "regedit" para iniciar el editor de registro;
b. .Eliminar las claves de registro respectivamente
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
El contenido del valor clave en Cargar clave de registro en.
Si no te preocupa, puedes buscar la clave de registro de "wincfgs.exe" y eliminarla.
2. Elimina el archivo
%SystemRoot. %\system32\wincfgs. exe
%SystemRoot%\KB20060111.exe
3 Dispositivo de almacenamiento móvil:
Después de conectar el USB, abra Mi PC, a la derecha -Haga clic y seleccione Abrir (no haga clic directamente para abrir ni haga clic en "abrir"), luego abra "Herramientas" -> "Opciones de carpeta" -> "Ver" en la barra de menú y elimine la marca frente a "Ocultar". archivos de sistema protegidos (recomendado)". Elimine desktop.ini, wincfgs.exe y autorun.inf en la unidad flash USB
Elimine manualmente los archivos desktop.ini, wincfgs.exe y autorun.inf debajo de cada letra de unidad del disco duro móvil. .
También existe un método conveniente para eliminar por lotes las modificaciones del registro:
Copie el siguiente texto en el Bloc de notas y guárdelo como "Wincfgs_kill.bat" (tenga en cuenta que el tipo de archivo es "Todos"). archivos")
eco apagado
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg eliminar "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "cargar" /f
reg agregue "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
Luego ejecute y luego reinicie la computadora