開機記事本病毒＋手工清理

最近研發這邊不少機器都中了開機記事本病毒，這個病毒好像並不惹事，確很招搖。卡巴斯基，諾頓還殺不了，154也中了，大家又都映射了Smaba的∴很容易就被感染了。
用這種傳播方式的病毒現在還真不多見了。
大家照下面多方法殺一下吧，再把154上多也殺了。

文章目錄：
一、手動刪除硬碟上的病毒：
方法(一)：
方法(二)：(推薦對電腦不是很瞭解的站友使用，適用於XP系統)
用此方法的不用看下文了，到http://lsxk.org/bbscon.php?bid=290&id=72000下載附件即可。
二、刪除隨身碟/MP3上的開機彈出空記事本病毒體：
三、問題解答：
☆─────────────────────────────────────☆

方法(二)的特別說明：由於病毒樣本有限，所以方法(二)只適用於XP系統，而且註冊表沒有被鎖定(被鎖的話多半是中了其他病毒，不能查看隱藏檔案也是中了其他病毒)。

下載附件。裡面有詳細說明。

附件: 開機跳出空白記事本病毒解決方案.rar (1979 Bytes) 連結:
http://lsxk.org/bbscon.php?bid=290&id=71542&ap=708

Windows98/2000/2003等系統請看方法(一)進行手動殺毒。

☆─────────────────────────────────────☆

一、手動刪除硬碟上的病毒：
(以XP系統為例，其他系統略同，XP系統才有msconfig，2000沒有！)
☆─────────────────────────────────────☆

方法(一)：

1、開啟工作管理員結束wincfgs進程。
2、控制面版-檔案夾選項-設定顯示系統檔案及隱藏檔案。（沒有檔案夾選項或者設定了但無法顯示隱藏檔案則是中了其他病毒，於該病毒無關，解決方案請看Virus病毒版的精華區的“〖註冊表類〗”）。
3、搜尋硬碟刪除KB20060111.exe（也許檔案名稱不同，在XP系統中是和記事本一樣的藍色表徵圖，位置是C:\WINDOWS\KB20060111.exe），搜尋硬碟刪除wincfgs.exe（在XP系統中是黃色問號表徵圖的隱藏系統檔案，位置是C:\windows\system32\wincfgs.exe）。

XP系統的搜尋方法：開始－搜尋－檔案或檔案夾－所有檔案和檔案夾－要在“更多進階選項”選擇“搜尋系統檔案夾、隱藏的檔案和檔案夾、子檔案夾”－輸入檔案名稱，只搜尋系統硬碟(C盤)。

4、開始-運行-regedit-進入登錄編輯程式-編輯-尋找-記得將“項、值、資料”這三個尋找選項選上，搜尋“KB20060111.exe”，刪除找到的項/值，按F3鍵尋找下一個並刪除項/值，直到搜尋完畢。同理搜尋刪除“.\RECYCLER\RECYCLER\autorun.exe”和“wincfgs.exe”的相關項目/值。（提示註冊表被鎖定，無法開啟登錄編輯程式，則是中了其他病毒，於該病毒無關，解決方案請看Virus病毒版的精華區的“〖註冊表類〗”）
5、註冊表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理與wincfgs相關的開機啟動項。(因為第5步已經刪除，如果沒有看到wincfgs相關項目則略過)
6、開始-運行-msconfig-點最後的“啟動”-取消“wincfgs”-確定-重啟-重啟後問你是否每次開機都顯示***，選擇否。(沒有看到wincfgs啟動項則略過)
7、結束。

☆─────────────────────────────────────☆

比如XP系統的則刪除註冊表以下項/子項：沒有的話當然不用刪除了！！！

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load

☆─────────────────────────────────────☆

方法(二)：
以下方法是用批處理刪除檔案、匯入清理註冊表：

1、刪除檔案：記事本寫下以下內容，點“檔案－另存新檔”，檔案類型選擇“所有檔案”，檔案名稱為1.bat，然後雙擊運行檔案。

@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
tskill conime
del %0

::=======分界線============分界線===============

2、清理註冊表：記事本寫下以下內容，點“檔案－另存新檔”，檔案類型選擇“所有檔案”，檔案名稱為1.reg，然後雙擊運行檔案，運行後檔案可以刪除。（提示註冊表被鎖定，無法匯入註冊表，則是中了其他病毒，於該病毒無關，解決方案請看Virus病毒版的精華區的“〖註冊表類〗”）。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\windows\system32\wincfgs.exe"=-
"C:\WINDOWS\KB20060111.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]

#=======分界線============分界線===============

3、開始-運行-msconfig-點最後的“啟動”-取消“wincfgs”-確定-重啟-重啟後問你是否每次開機都顯示***，選擇否。(沒有看到wincfgs啟動項則略過)

4、結束。

                 

☆─────────────────────────────────────☆

二、刪除隨身碟/MP3上的開機彈出空記事本病毒體：

1、設定一下能看到系統隱藏檔案.
2、開啟隨身碟/MP3時不要雙擊,右鍵選開啟,不要選英文的OPEN.
3、開啟隨身碟/MP3後看到RECYCLER檔案夾.刪除.
4、再刪除autorun.inf就行了.
5、殺了後正常拔出隨身碟，再插上就可以了.否則雙擊開啟隨身碟出現“拒絕訪問”。
6、結束.