问题概述：9 m8 ~  X6 P3 p# X/ h
        每次开机，都会弹出一个空白记事本（但是运行msconfig启动项，又没的提示加载记事本）。虽然没多大影响，但感觉肯定是有问题。偶移动硬盘(或优盘)插到USB口时，点击盘符进入时，也会弹出空白记事本。随后，瑞星注册表监控程序显示将修改为“HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache" c  ~, a) s) s' w' A; S0 r3 a
C:\windows\system32\wincfgs.exe”。6 I5 q( a# ^2 V" O
$ z5 `0 _: ?8 b& H2 d
会在每个磁盘根目录下面生成一个desktop.ini(移动设备有的会创建autorun.inf).- R3 d% R1 C( Y/ s- w$ {

5 U9 I' _$ ]% O# k
- g# ~1 a  R. S: f
# X# s3 p4 q( R4 [; m  D& P解决办法（一）：3 z. ~, [. P/ H
, z+ B, a' J9 z8 b9 `" P
$ C; i0 w: w0 r$ U
1.批处理删除注册表修改：/ [3 i) h$ m! q2 f/ j' P
8 h4 _% u- N0 x* K2 ^, i* n4 K- P5 x
复制下面文字到记事本，另存为“Wincfgs_kill.bat”（注意保存时选择文件类型为“所有文件”）$ C) w! {. V# I0 J
: d9 m$ P4 F! G% M0 j" x
echo off/ `. {* |- }* g1 E( t
tskill KB20060111
4 ^# B9 q3 h  X! M& stskill wincfgs
( F6 q: J# G+ m6 k- \8 ?* Y, Vdel %windir%\kb20060111.exe
3 L5 W, r8 f! d5 ]0 K" g; u8 ]6 Qdel %windir%\system32\wincfgs.exe) Q# D1 [+ i0 p. M
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
, }$ z3 y& s5 s; r8 b$ creg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f# c& [; n. ?% o  ?! [7 _
9 l6 P/ H  M9 i& Y
2.移动设备解决方法(以优盘为例)：3 D  \% }5 L; h6 C% l

" n6 E: X+ l% @: x* e- `) B连接好USB后，打开我的电脑，点右键选择打开（不要直接点击打开或点“open”）,然后打开菜单栏的"工具"->"文件夹选项"->"查看"，去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini，wincfgs.exe和autorun.inf6 u7 D5 Z# I3 W' `
* L, h/ t* c: K) l( _, s  O' l
移动硬盘的手动删除每个盘符下面的desktop.ini，wincfgs.exe和autorun.inf文件。 另外一种手动解决方法传播途径：U盘等移动存储危害性：暂无破坏性，只是开机跳出记事本，杀毒软件不能查出病毒。
1 t  l6 n7 ]. A- c" c$ M) v手动删除方法：; q/ ~5 p3 m7 {$ w8 B
用任务管理器或者木马杀客或者HijackThis结束wincfgs进程，
- O4 Q% ?$ m3 t* \+ a, z删除C:\WINDOWS\KB20060111.exe（也许文件名不同，和记事本一样的蓝色图标）" F1 T5 t7 F3 w1 k3 z
和C:\windows\system32\wincfgs.exe（黄色问号图标的隐藏系统文件）。
: B/ E8 Z+ O; j! w1 A5 G7 E( ~开始－运行－regedit，进入注册表，搜索注册表删除wincfgs.exe# W& {( o  U4 M5 x& @3 N, F
比如删除注册表以下项/子项：没有的话当然不用删除了！！！% `5 ~0 k) B1 b4 b% F8 [. k
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICacheNcB)1Z  E! p/ ]4 p, L% W  F
C:\WINDOWS\KB20060111.exec>- q4 x3 Z; o  {1 M8 ^. {
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load=b*DZs
+ j- k; C3 ]/ w( D" {, X9 _再运行msconfig或者在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项清理开机启动项。 此现象是蠕虫行为，特此提醒广大网友警惕。5 @+ c- i( I% K2 T! ?
这个蠕虫目前绝大多数的主流杀毒软件都可以查杀，请发现此现象的朋友升级杀毒软件进行杀毒！
! o8 A' ?1 b1 I& Q' {. V以下是对此蠕虫做的一些简单分析：蠕虫名称：Worm.Win32.Delf.aj（AVP）; |) u" }5 O* v  G1 H
蠕虫别名：Trojan.Spy.UsbSpy.a（瑞星）、TrojanSpy.USBSpy.a（江民）: q5 @' q! q" h; d
蠕虫大小：47,104字节+ n6 h* D/ Q  T8 o8 A1 D9 r
加壳方式：UPX2 Q  J4 O3 F% H
MD5：07adddef653a702b9a11edbcee07e82b
1 c7 ~8 D% W! v2 \. x$ ^' H3 ICRC32：100A382A
9 C6 _7 T$ e& N8 a发作现象：
7 m; b8 G% C1 T- [- _电脑开机时会自动弹出记事本，会生成wincfgs.exe、KB20060111.exe等文件! _  t- X9 r0 |$ g& N- N: r
行为分析：
+ W5 Z4 u5 a* {$ }- X! R1. 在注册表中创建USBSpyRunMutex互斥量，避免重复感染。% e4 @6 F8 _+ H8 W$ _0 s: f% O
2. 在系统中生成' j2 J: Z* I% ?+ E, h
C:\%system%\wincfgs.exe（系统、隐藏、只读属性）
9 t8 u, l9 ]& S" e: pC:\%WINDOWS%\KB20060111.exe（大小66,560 字节，非病毒，是记事本程序）
! W; A0 b) d3 y- s  z3. 在注册表中添加：
( e) i% }7 m- `( {" q' `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows* F7 R5 ^: G0 U5 |+ m6 E7 ?9 p
Load ＝“C:\windows\system32\wincfgs.exe”
1 Y8 S6 Y- c2 i- u  I0 R7 x# v4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf，在这个目录下生成autorun.exe、desktop.ini。- Z6 v1 R3 i. e# V( R5 U
autorun.inf的内容：& `) U, L/ A/ x: v6 B, t
[autorun]: G) c& a0 s' M3 A1 v
open=.\RECYCLER\RECYCLER\autorun.exe$ r6 b3 }7 ~- Y) G, |5 {% j
shell\1=Open: q( ~8 v. u" @. t
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe0 X& x, B3 h0 h. I2 C
shell\2\=Browser7 S  U& I# f! j% _& W' t
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe/ J# t: _# o8 l9 S: D
shellexecute=.\RECYCLER\RECYCLER\autorun.exe

好帖子，学习了！