亚洲欧美制服先锋_ 幾個(gè)u盤(pán)病毒

懸賞分：5 - 解決時(shí)間：2006-8-2 09:39

我曾與這種病毒打過(guò)兩次交道,這兩回都有幾個(gè)共同點(diǎn):1.都是從U盤(pán)上帶到我的機子上的2.都會(huì )在我進(jìn)入系統正在加載的時(shí)候自動(dòng)彈出一個(gè)空的"TXT記事本"3.在C盤(pán)的WINDOWS目錄下都能找到"KB20060111.exe",并且每次將其刪除,注銷(xiāo)后再次登陸,仍會(huì )彈出空的"記事本"... ...在原C盤(pán)目錄下還是會(huì )找到這個(gè)"KB20060111.exe"

第一次這種病毒只有4KB,中毒后仍能進(jìn)行系統還原,并且系統還原便能解決此問(wèn)題,但第二次這種病毒卻有64KB,每次系統還原都不成功,無(wú)論還原點(diǎn)是好久的都無(wú)法進(jìn)行系統還原... ...最后沒(méi)辦法只用Ghost還原才得以解決,但是自己卻損失了不少重要文件... ...(慘不忍睹)

為了避免下次再遭遇同樣的問(wèn)題,請教高人指點(diǎn)如何應對這種問(wèn)題(殺毒軟件在年初的時(shí)候就以過(guò)期)... ...

小弟在此感謝萬(wàn)分!!!!

提問(wèn)者： zgmacfw - 試用期一級

最佳答案

一開(kāi)機就彈出個(gè)無(wú)標題的記事本,但是運行msconfig啟動(dòng)項，又沒(méi)的提示加載記事本,移動(dòng)硬盤(pán)(或優(yōu)盤(pán))插到USB口時(shí)，點(diǎn)擊盤(pán)符進(jìn)入時(shí)，也會(huì )彈出空白記事本。偶爾系統反應較慢;雖然也不是嚴重影響系統的進(jìn)程和運行速度,但老是這樣,容易讓人產(chǎn)生不爽的感覺(jué).于是我上網(wǎng)查了下,找出了點(diǎn)門(mén)道來(lái).(后面列出的數據大都出自網(wǎng)上:-)).
由于這種情況都是在使用了諸如閃盤(pán)的移動(dòng)存儲的計算機出現的，所以導致根源應該在閃盤(pán)上所存儲的文件。這個(gè)閃盤(pán)可能被感染有蠕蟲(chóng)病毒，在接入別的計算機上便會(huì )使得該計算機出現這種開(kāi)機彈出無(wú)標題的記事本的情況，不過(guò)蠕蟲(chóng)病毒至少需要激活，也就是執行一下這個(gè)蠕蟲(chóng)病毒.
[蠕蟲(chóng)簡(jiǎn)單分析]：
蠕蟲(chóng)名稱(chēng)：Worm.Win32.Delf.aj（AVP）
蠕蟲(chóng)別名：Trojan.Spy.UsbSpy.a（瑞星）、TrojanSpy.USBSpy.a（江民）
蠕蟲(chóng)大?。?7,104字節
加殼方式：UPX
MD5：07adddef653a702b9a11edbcee07e82b
CRC32：100A382A
[發(fā)作現象]：
電腦開(kāi)機時(shí)會(huì )自動(dòng)彈出記事本，會(huì )生成wincfgs.exe、KB20060111.exe等文件
[行為分析]：
1. 在注冊表中創(chuàng )建USBSpyRunMutex互斥量，避免重復感染。
2. 在系統中生成
C:\%system%\wincfgs.exe（系統、隱藏、只讀屬性）
C:\%WINDOWS%\KB20060111.exe（大小66,560 字節，非病毒，是記事本程序）
3. 在注冊表中添加：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load＝“C:\windows\system32\wincfgs.exe”
4. 在移動(dòng)設備中生成RECYCLER\RECYCLER目錄和autorun.inf，在這個(gè)目錄下生成autorun.exe、desktop.ini。
autorun.inf的內容：
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe

autorun.exe同wincfgs.exe
desktop.ini的內容：
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可見(jiàn)，當含有病毒的移動(dòng)設備接入電腦時(shí)，蠕蟲(chóng)會(huì )被自動(dòng)運行。
開(kāi)機彈出的記事本便是這個(gè)KB20060111.exe文件了，誘發(fā)這個(gè)KB20060111.exe的啟動(dòng)可能不是常規啟動(dòng)項，而是 wincfgs.exe這個(gè)文件啟動(dòng)（呼叫）KB20060111.exe文件的。就是說(shuō)KB20060111.exe這個(gè)文件并非病毒或者Joke程序本身，其實(shí)KB20060111.exe就是一個(gè)記事本程序（這也就是為什么KB20060111.exe文件的圖標也是一個(gè)記事本程序的圖標的緣故）。另外沒(méi)有清理wincfgs.exe的計算機再次接入一個(gè)干凈的移動(dòng)存儲設備可能會(huì )再次傳染這個(gè)移動(dòng)存儲設備。
[修改辦法]
1、修改注冊表
a.運行“regedit”啟動(dòng)注冊表編輯器；
b.分別刪除注冊表項
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注冊表鍵里的鍵值內容。
不放心的話(huà)可以搜索“wincfgs.exe”的注冊表鍵并刪除之
2、刪除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
3移動(dòng)存儲設備：
連接好USB后，打開(kāi)我的電腦，點(diǎn)右鍵選擇打開(kāi)（不要直接點(diǎn)擊打開(kāi)或點(diǎn)“open”）,然后打開(kāi)菜單欄的"工具"->"文件夾選項"- >"查看"，去掉“隱藏受保護的系統文件(推薦)”前面的勾。刪除掉優(yōu)盤(pán)里面的desktop.ini，wincfgs.exe和 autorun.inf
移動(dòng)硬盤(pán)的手動(dòng)刪除每個(gè)盤(pán)符下面的desktop.ini，wincfgs.exe和autorun.inf文件。。
還有個(gè)方便的方法批處理刪除注冊表修改：
復制下面文字到記事本，另存為“Wincfgs_kill.bat”（注意保存時(shí)選擇文件類(lèi)型為“所有文件”）
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然后運行,完畢后重啟電腦

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久