Red de conocimiento informático - Espacio del host - Parece que mi computadora ha sido infectada con un virus en los últimos dos días. Cada vez que la enciendo, aparece un texto parecido a un bloc de notas. ¿Cómo puedo solucionarlo?

Parece que mi computadora ha sido infectada con un virus en los últimos dos días. Cada vez que la enciendo, aparece un texto parecido a un bloc de notas. ¿Cómo puedo solucionarlo?

Aparece un bloc de notas sin título tan pronto como se enciende la computadora, pero cuando ejecuto el elemento de inicio de msconfig, no aparece ningún mensaje para cargar el bloc de notas cuando el disco duro móvil (o unidad flash USB) Se inserta en el puerto USB y hace clic en la letra de la unidad para ingresar. También aparecerá un bloc de notas en blanco. De vez en cuando, el sistema responde lentamente; aunque no afecta seriamente el proceso del sistema ni la velocidad de ejecución, siempre hace que la gente se sienta incómoda. Así que revisé en línea y encontré algunos consejos (enumerados más adelante). La mayoría de los datos provienen de Internet. )).

Dado que esta situación ocurre en computadoras que usan almacenamiento extraíble, como unidades flash, la causa principal deberían ser los archivos almacenados en las unidades flash. Este disco flash puede estar infectado con un virus gusano. Cuando se conecta a otra computadora, aparecerá un bloc de notas sin título en la computadora. Sin embargo, al menos el virus gusano debe estar activado, es decir, el virus gusano debe ejecutarse

[Análisis simple de gusanos]:

Nombre del gusano: Worm.Win32.Delf.aj (AVP)

Alias ​​del gusano: Trojan.Spy.UsbSpy.a ( Rising), TrojanSpy.USBSpy.a (Jiangmin)

Tamaño del gusano: 47.104 bytes

Método de empaquetado: UPX

MD5: 07adddef653a702b9a11edbcee07e82b

p>

CRC32: 100A382A

[Fenómeno de ocurrencia]:

El Bloc de notas aparecerá automáticamente cuando se encienda la computadora y se borrarán wincfgs.exe, KB20060111.exe y otros archivos. generado

[Análisis de comportamiento]:

1. Cree un mutex USBSpyRunMutex en el registro para evitar infecciones repetidas.

2. Generar en el sistema

C:\%system%\wincfgs.exe (sistema, atributo oculto, de solo lectura)

C:\ % WINDOWS%\KB20060111.exe (tamaño 66.560 bytes, no es un virus, es un programa de bloc de notas)

3. Agregar al registro:

HKLM\SOFTWARE\Microsoft\Windows. NT \CurrentVersion\Windows\Load="C:\windows\system32\wincfgs.exe"

4. Genere el directorio RECYCLER\RECYCLER y autorun.inf en el dispositivo móvil y genere autorun.exe en este directorio, escritorio.ini.

Contenido de autorun.inf:

[autorun]

open=.\RECYCLER\RECYCLER\autorun.exe

shell\ 1=Abrir

shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe

shell\2\=Navegador

shell\2\Command =.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe

autorun.exe es lo mismo que wincfgs.exe

Contenido del escritorio de .ini:

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

Se puede ver que cuando contiene un virus al conectar el dispositivo móvil al ordenador, el gusano se ejecutará automáticamente.

El bloc de notas que aparece al iniciar es el archivo KB20060111.exe. El inicio de KB20060111.exe puede no ser un elemento de inicio normal, sino el archivo wincfgs.exe que inicia (llama) a KB20060111.exe. archivo. . Es decir, el archivo KB20060111.exe no es un virus ni el programa Joke en sí. De hecho, KB20060111.exe es un programa Bloc de notas (por eso el icono del archivo KB20060111.exe es también el icono del programa Bloc de notas). ). Además, una computadora que no haya limpiado wincfgs.exe y lo conecte a un dispositivo de almacenamiento móvil limpio puede infectar el dispositivo de almacenamiento móvil nuevamente.

[Método de modificación]

1. Modificar el registro

a. Ejecute "regedit" para iniciar el editor de registro;

b. .Eliminar las claves de registro respectivamente

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

El contenido del valor clave en Cargar clave de registro en.

Si no te preocupa, puedes buscar la clave de registro de "wincfgs.exe" y eliminarla.

2. Elimina el archivo

%SystemRoot. %\system32\wincfgs. exe

%SystemRoot%\KB20060111.exe

3 Dispositivo de almacenamiento móvil:

Después de conectar el USB, abra Mi PC, a la derecha -Haga clic y seleccione Abrir (no haga clic directamente para abrir ni haga clic en "abrir"), luego abra "Herramientas" -> "Opciones de carpeta" -> "Ver" en la barra de menú y elimine la marca frente a "Ocultar". archivos de sistema protegidos (recomendado)". Elimine desktop.ini, wincfgs.exe y autorun.inf en la unidad flash USB

Elimine manualmente los archivos desktop.ini, wincfgs.exe y autorun.inf debajo de cada letra de unidad del disco duro móvil. .

También existe un método conveniente para eliminar por lotes las modificaciones del registro:

Copie el siguiente texto en el Bloc de notas y guárdelo como "Wincfgs_kill.bat" (tenga en cuenta que el tipo de archivo es "Todos"). archivos")

eco apagado

tskill KB20060111

tskill wincfgs

del %windir%\kb20060111.exe

del %windir%\system32\wincfgs.exe

reg eliminar "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "cargar" /f

reg agregue "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f

Luego ejecute y luego reinicie la computadora