怀疑小P中毒了，各位高手帮忙看看

该用户已被禁言

但是格完后把文件再传回来一样还是有毒啊

该用户已被禁言

回一下啊！！！！！！！！！！

amuro_lei

那就连PSP带电脑彻底杀毒啊，
这还需要问么

该用户已被禁言

电脑病毒哈！不影响小P，应该是你用小P在外面拷贝资料时染上的，然后传给了PC

解决方法：有两个，随便用个就可以了，原理一样。

开机弹出无标题的记事本

关键字词：无标题的记事本 开机弹出记事本 wincfgs.exe KB20060111.exe

由于该用户提交样本时没有提交母体文件Wincfgs.exe，不能准确分析。只有分情况来讨论了。
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的，所以导致根源应该在闪盘上所存储的文件。

1、蠕虫病毒的可能性：
这个闪盘可能被感染有蠕虫病毒，在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况，不过蠕虫病毒至少需要激活，也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害，应该不至于称作蠕虫病毒，所以暂时定为Joke程序

2、autorun.ini的小把戏：
在这个闪盘中存储有autorun.ini，也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序，那么便会在双击打开闪盘的时候就激活了这个Joke程序。

当激活了这个Joke程序应该会有如下行为：
修改注册表项：
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
下的名为Load的注册表键为：
C:windowssystem32wincfgs.exe

修改%SystemRoot%Notepad.exe文件的文件名为KB20060111.exe（或其它文件名），或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe（或其它文件名）。

开机弹出的记事本便是这个KB20060111.exe文件了，诱发这个KB20060111.exe的启动可能不是常规启动项，而是wincfgs.exe这个文件启动（呼叫）KB20060111.exe文件的。

就是说KB20060111.exe这个文件并非病毒或者Joke程序本身，其实KB20060111.exe就是一个记事本程序（这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故）。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。

那么解决办法就出来了：
1、修改注册表
a.运行“regedit”启动注册表编辑器；
b.分别删除注册表项
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
由于没有得到wincfgs.exe样本文件，所以无法准确判断有关注册表项，但是可以直接使用Hijackthis修复类似这个项目：
F3 - REG:win.ini: load=C:windowssystem32wincfgs.exe

2、删除文件
%SystemRoot%system32wincfgs.exe
%SystemRoot%KB20060111.exe

上述是解决被感染的计算机的解决办法，下面还要处理一下有问题的移动存储设备：
打开移动存储设备下的autorun.ini文件，查看其中指定的文件是哪个并且删除这个文件。
删除移动存储设备下的autorun.ini文件，这个文件一般是隐藏的，所以需要设置文件夹选项为显示所有文件和文件夹选项的。

---------------------------------------------------------------------------------------------------------------------------------------


电脑开机时自动弹出一个无标题记事本的解决办法问题：
电脑开机时自动弹出一个无标题记事本，但是[程序][启动]栏是空的。怎么回事呢？
问题补充：我运行msconfig，启动项里面有一个wincfgs文件，命令为c:windowssystem32wincfgd.exe，我想起来这就是我之前插上U盘时杀毒软件提醒发现的病毒文件win32.sillyFDC（我用的symantec）。查杀病毒却只能隔离不能杀除，我就根据百度知道里面对此病毒的应对提示，在正常模式和安全模式下都检查过，没有发现提示中所说的文件和键值（说没找到就说明电脑没问题），只好作罢。刚才我运行msconfig在启动项里把这个文件的勾去了，结果重启后再次运行msconfig检查启动项，出现另一个同样的文件前面是带勾的（刚才绝对没有这个文件），只是位置跟我刚才去掉的文件不一样。开机的记事本跟这一系列问题相关吗？那个病毒该怎么处理？


解答：
一、在“启动”文件夹中寻找
“启动”文件夹一般位于“系统盘符Documents and Settings用户名开始菜单程序启动”目录（Win 2000/XP）或“系统盘符WINDOWSStart MenuPrograms启动”目录。通过快捷方式的属性可以查出程序所在的位置。
二、从自动批处理文件中寻找
在Win 98中，Autoexec.bat和Winstart.bat文件中的程序在开机时自动执行；而在Win Me/2000/XP/2003中，这两个批处理文件默认不被执行。
三、从系统配置文件中寻找
在有些系统配置文件中也可以找到自启动程序的踪迹，如Config.sys、Win.ini、System.ini、Wininit.ini和Msdos.sys等。
四、通过“系统配置实用程序”寻找
在“开始→运行”中键入“msconfig.exe”启动“系统配置实用程序”，进入“启动”选项卡，即可查看随系统启动的程序名称和位置。
注意：Win 2000本身没有Msconfig程序，可以从Win XP/2003中提取。
五、从计划任务中寻找
在“控制面板”中双击“任务计划”就可以查看是否有计划任务随系统一起启动。
六、使用“系统信息”寻找
进入“系统信息”主界面，依次展开分支“软件环境→启动程序”，就可以在右窗格中查看自启动程序名称和位置。
七、使用“组策略”寻找
在Win 2000/XP/2003中，在“开始→运行”中键入“gpedit.msc”，打开“组策略”，依次展开“用户配置→管理模板→系统→登录/注销”，双击“在用户登录时运行这些程序”，单击“显示”按钮，即可查看自启动程序。
八、通过注册表寻找
在注册表中，可以从下列键值中查找自启动程序的名称和位置。
1.Userinit键
位于“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit”。这个键允许指定用逗号分隔的多个程序。
2.ExplorerRun键
位于“HKEY_CURRENT_USERSoftwareMicrosoft
WindowsCurrentVersionPoliciesExplorerRun”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun”。
3.RunServicesOnce键
RunServicesOnce键用来启动服务程序，在用户登录之前启动，具体位置是“HKEY_CURRENT_USERSoftwareMicrosoftWindows CurrentVersionRunServicesOnce”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce”。
4.RunServices键
RunServices键指定的程序在RunServicesOnce指定的程序之后运行，不过仍在用户登录之前。具体位置是：“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRunServices”。
5.Run键
Run是自动运行程序最常用的键，位置在“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”和“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”。
6.Load键
位于“HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload”。
另外还有RunOnce、RunOnceSetup等键。
九、使用工具软件
除了使用系统提供的工具以外，我们还可以求助于第三方软件，比如Windows优化大师、RegRun Gold等等。

悲境の贵公子

玩ISO也会中毒啊???