开机记事本病毒＋手工清理

最近研发这边不少机器都中了开机记事本病毒，这个病毒好像并不惹事，确很招摇。卡巴斯基，诺顿还杀不了，154也中了，大家又都映射了Smaba的∴很容易就被感染了。
用这种传播方式的病毒现在还真不多见了。
大家照下面多方法杀一下吧，再把154上多也杀了。

文章目录：
一、手动删除硬盘上的病毒：
方法(一)：
方法(二)：(推荐对电脑不是很了解的站友使用，适用于XP系统)
用此方法的不用看下文了，到http://lsxk.org/bbscon.php?bid=290&id=72000下载附件即可。
二、删除U盘/MP3上的开机弹出空记事本病毒体：
三、问题解答：
☆─────────────────────────────────────☆

方法(二)的特别说明：由于病毒样本有限，所以方法(二)只适用于XP系统，而且注册表没有被锁定(被锁的话多半是中了其他病毒，不能查看隐藏文件也是中了其他病毒)。

下载附件。里面有详细说明。

附件: 开机跳出空白记事本病毒解决方法.rar (1979 Bytes) 链接:
http://lsxk.org/bbscon.php?bid=290&id=71542&ap=708

Windows98/2000/2003等系统请看方法(一)进行手动杀毒。

☆─────────────────────────────────────☆

一、手动删除硬盘上的病毒：
(以XP系统为例，其他系统略同，XP系统才有msconfig，2000没有！)
☆─────────────────────────────────────☆

方法(一)：

1、打开任务管理器结束wincfgs进程。
2、控制面版-文件夹选项-设置显示系统文件及隐藏文件。（没有文件夹选项或者设置了但无法显示隐藏文件则是中了其他病毒，于该病毒无关，解决方法请看Virus病毒版的精华区的“〖注册表类〗”）。
3、搜索硬盘删除KB20060111.exe（也许文件名不同，在XP系统中是和记事本一样的蓝色图标，位置是C:\WINDOWS\KB20060111.exe），搜索硬盘删除wincfgs.exe（在XP系统中是黄色问号图标的隐藏系统文件，位置是C:\windows\system32\wincfgs.exe）。

XP系统的搜索方法：开始－搜索－文件或文件夹－所有文件和文件夹－要在“更多高级选项”选择“搜索系统文件夹、隐藏的文件和文件夹、子文件夹”－输入文件名，只搜索系统盘(C盘)。

4、开始-运行-regedit-进入注册表编辑器-编辑-查找-记得将“项、值、数据”这三个查找选项选上，搜索“KB20060111.exe”，删除找到的项/值，按F3键查找下一个并删除项/值，直到搜索完毕。同理搜索删除“.\RECYCLER\RECYCLER\autorun.exe”和“wincfgs.exe”的相关项/值。（提示注册表被锁定，无法打开注册表编辑器，则是中了其他病毒，于该病毒无关，解决方法请看Virus病毒版的精华区的“〖注册表类〗”）
5、注册表-[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]清理与wincfgs相关的开机启动项。(因为第5步已经删除，如果没有看到wincfgs相关项则略过)
6、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***，选择否。(没有看到wincfgs启动项则略过)
7、结束。

☆─────────────────────────────────────☆

比如XP系统的则删除注册表以下项/子项：没有的话当然不用删除了！！！

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe
C:\WINDOWS\KB20060111.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load

☆─────────────────────────────────────☆

方法(二)：
以下方法是用批处理删除文件、导入清理注册表：

1、删除文件：记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为1.bat，然后双击运行文件。

@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
tskill conime
del %0

::=======分界线============分界线===============

2、清理注册表：记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为1.reg，然后双击运行文件，运行后文件可以删除。（提示注册表被锁定，无法导入注册表，则是中了其他病毒，于该病毒无关，解决方法请看Virus病毒版的精华区的“〖注册表类〗”）。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\windows\system32\wincfgs.exe"=-
"C:\WINDOWS\KB20060111.exe"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]

#=======分界线============分界线===============

3、开始-运行-msconfig-点最后的“启动”-取消“wincfgs”-确定-重启-重启后问你是否每次开机都显示***，选择否。(没有看到wincfgs启动项则略过)

4、结束。

                 

☆─────────────────────────────────────☆

二、删除U盘/MP3上的开机弹出空记事本病毒体：

1、设置一下能看到系统隐藏文件.
2、打开U盘/MP3时不要双击,右键选打开,不要选英文的OPEN.
3、打开U盘/MP3后看到RECYCLER文件夹.删除.
4、再删除autorun.inf就行了.
5、杀了后正常拔出U盘，再插上就可以了.否则双击打开U盘出现“拒绝访问”。
6、结束.