武鸣县景点:开机自动弹出空白记事本

传播途径：U盘等移动存储
危害性：暂无破坏性，只是开机跳出记事本，杀毒软件不能查出病毒。

手动删除方法：
用任务管理器或者木马杀客或者HijackThis结束wincfgs进程，
删除C:\WINDOWS\KB20060111.exe（也许文件名不同，和记事本一样的蓝色图标）
和C:\windows\system32\wincfgs.exe（黄色问号图标的隐藏系统文件）。

开始－运行－regedit，进入注册表，搜索注册表删除wincfgs.exe
比如删除注册表以下项/子项：没有的话当然不用删除了！！！

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\WINDOWS\KB20060111.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load

再运行msconfig或者在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项清理开机启动项。

因为KB20060111.exe病毒名字与日期有关，每台电脑都不一样，以下方法是用批处理删除文件、导入清理注册表，请根据情况修改使用：

1、删除文件：记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为1.bat，然后双击运行文件。

@echo off
tskill wincfgs
attrib -R -A -S -H C:\windows\system32\wincfgs.exe
attrib -R -A -S -H C:\WINDOWS\KB20060111.exe
del C:\windows\system32\wincfgs.exe
del C:\WINDOWS\KB20060111.exe
del %0

::=======分界线============分界线===============

2、清理注册表：记事本写下以下内容，点“文件－另存为”，保存类型选择“所有文件”，文件名为1.reg，然后双击运行文件。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\KB20060111.exe"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]

#=======分界线============分界线===============

在“开始－》运行”窗口中键入“msconfig"然后在打开的窗口选择启动项，查看有没有跟Notepad相关的启动项，如果有的话，把对应勾选框中的勾去掉。应该就可以了
杀毒，不行的话，用优化大师禁止其自动启动

看看程序里的启动项里是否有文本文件，删除了

楼上说得有道理。

hen hao a