病毒文件：wincfgs.exe （c:\windows\system32\wincfgs.exe）
病毒名稱：Trojanspy.USBpy.a
介紹：該病毒主要通過U盤傳播，帶毒的U盤中存在一個autorun.inf自動安裝文件和一個回收站類似的文件夾，里面有一個 autorun.exe主文件和一個回收站圖標(biāo)，都是加了一些屬性的，并且autorun.exe在windows下是無法顯示的，你可以在DOS中用 dir /a命令來看到。
 中毒機(jī)器上，會在windows目錄下產(chǎn)生一個記事本圖標(biāo)的KB20060111.exe文件，system32目錄下有一個wincfgs.exe文件，進(jìn)程管理器中可以看到wincfgs.exe進(jìn)程。
相關(guān)癥狀：開機(jī)自動彈記事本，修改系統(tǒng)啟動項，部分軟件沒有反應(yīng)
傳播途徑：U盤等移動存儲
危害性：暫無破壞性，只是開機(jī)跳出記事本。

推薦殺毒方式：手動查殺
相關(guān)步驟：
1、Ctl+Alt+Del 打開任務(wù)管理器結(jié)束wincfgs進(jìn)程。
2、控制面版-文件夾選項-設(shè)置顯示系統(tǒng)文件及隱藏文件。
3、刪除C:\windows\KB20060111.exe（也許文件名不同，和記事本一樣的藍(lán)色圖標(biāo)）。
4、刪除C:\windows\system32\wincfgs.exe（黃色問號圖標(biāo)的隱藏系統(tǒng)文件）。
5、開始-運(yùn)行-regedit-進(jìn)入注冊表編輯器-編輯-查找-記得將"項、值、數(shù)據(jù)"這三個查找選項選上，搜索"KB20060111.exe"，刪除找到的項/值，按F3鍵查找下一個并刪除項/值，直到搜索完畢。同理搜索刪除".\RECYCLER\RECYCLER\autorun.exe"和 "wincfgs.exe"的相關(guān)項/值。
6、注冊表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理與wincfgs相關(guān)的開機(jī)啟動項。(因為第5步已經(jīng)刪除，如果沒有看到wincfgs相關(guān)項則略過)
7、開始-運(yùn)行-msconfig-點(diǎn)最后的"啟動"-取消"wincfgs"-確定-重啟-重啟后問你是否每次開機(jī)都顯示***，選擇否。(沒有看到wincfgs啟動項則略過)
8、結(jié)束。

最好格式化磁盤

最新評論