etc
该病毒会在系统启动时自动打开记事本,并通过AUTORUN.INF激活。AUTORUN.INF脚本中包含以下内容:[autorun]open=.RECYCLERRECYCLERautorun.exeshell1=Openshell1Command=.RECYCLERRECYCLERautorun.exeshell2=Browsershell2Command=.RECYCLERRECYCLERautorun.exe
此外,该病毒还会释放出名为WINCFGS.EXE的文件到%systemroot%system32目录,并将其写入注册表项SOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN,实现开机自启动。同时,该病毒本身也会加入系统,并设置只读和隐藏属性。
解决方法如下:1. 在任务管理器中结束WINCFGS.EXE进程。2. 删除WINCFGS.EXE文件和存放在%SYSTEMROOT%PREFetcH目录下的预读取宿体PF文件(格式为WINCFGS.EXE-0*.PF)。3. 删除AUTORUN.INF文件。4. 使用系统工具MSCONFIG.EXE删除病毒的自启动项。
需要注意的是,虽然这类病毒暂时没有造成实质性损害,只是在开机时弹出记事本窗口,并且杀毒软件无法检测到该病毒。由于病毒主体文件AUTORUN.EXE尚未被获取,因此无法对其进行分析和处理。
附加说明:在Windows XP及以上操作系统中,引入了预读取功能(也称为“预先装载”),以提高系统性能和加快启动速度。这些预读取文件保存在%systemroot%Prefetch目录下,以*.pf为扩展名。每个应用程序(包括Windows XP的启动过程)都会在Prefetch目录下生成相应的预读取文件,其中记录了各个模块的加载顺序信息。每次用户启动一个程序时,都会在相应的*.pf文件中留下一条记录。
当下一次启动系统或运行某个程序时,Windows会参考相应的*.pf文件将其中记录的所有文件载入内存,而不是逐个按指令加载。同时,Windows还利用这些*.pf文件制定最优化的磁盘分配方案,并将相关信息存储在Layout.ini文件中。
Copyright © 2025 IZhiDa.com All Rights Reserved.
知答 版权所有 粤ICP备2023042255号
