开机后老是打开记事本
启动计算机时,记事本启动并带有“[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\System32\Shell32.dll,-21787”行
症状
原因
解决方案
方法 1:删除 Desktop.ini 文件
方法 2:使用系统配置实用程序 (Msconfig.exe) 来
症状
在启动计算机时,记事本将启动,并且包含以下文本行的一个或多个文本文档将出现在 Windows 桌面上:[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
原因
如果满足以下条件,则可能发生此问题: • Desktop.ini 文件存在于以下一个或多个文件夹中,其中 drive 是安装 Windows 的驱动器: • drive:\Documents and Settings\All Users\Start Menu\Programs\Startup
• drive:\Documents and Settings\All Users\Start Menu\Programs
• drive:\Documents and Settings\All Users\Start Menu
- 以及 -
• Desktop.ini 文件包含以下行:[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
解决方案
若要解决该现象,请使用下列方法之一:
方法 1:删除 Desktop.ini 文件
1. 启动 Windows 资源管理器。
2. 在“工具”菜单上,单击“文件夹选项”,然后单击“查看”选项卡。
3. 在“高级设置”框中,单击以清除“隐藏已知文件类型的扩展名”复选框和“隐藏受保护的操作系统文件”复选框(如果尚未清除),然后单击“确定”。
4. 删除包含本文前述“症状”部分介绍的文本行的所有 Desktop.ini 文件。为此,请按照下列步骤操作: a. 找到下列每一个文件夹,右键单击“Desktop.ini”文件(如果此文件夹中有该文件),然后单击“打开”: • drive:\Documents and Settings\All Users\Start Menu\Programs\Startup
• drive:\Documents and Settings\All Users\Start Menu\Programs
• drive:\Documents and Settings\All Users\Start Menu
其中 drive 是安装 Windows 的驱动器。
b. 检查该文件是否包含以下行:[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
如果该文件包含这些行,请右键单击此文件,单击“删除”,然后在提示您确认删除时单击“是”。
5. 重新启动计算机,检查该问题是否已解决。
方法 2:使用系统配置实用程序 (Msconfig.exe) 来禁用启动项目
1. 单击“开始”,然后单击“运行”。
2. 在“打开”框中,键入 msconfig,然后单击“确定”。
3. 单击“启动”选项卡。
4. 单击以清除“启动项目”列中那些在对应的“位置”列中作为“公用启动”项列出的所有“桌面”项旁边的复选框,这些项还位于下列所有位置中(如“命令”列中所示): • 驱动器:\Documents and Settings\All Users\Start Menu\Programs\Startup
• 驱动器:\Documents and Settings\All Users\Start Menu\Programs
• 驱动器:\Documents and Settings\All Users\Start Menu
5. 单击“确定”以退出系统配置实用程序。
6. 重新启动计算机,检查该问题是否已解决。
开机后 就出现记事本窗口
由于这种情况都是在使用了诸如闪盘的移动存储的计算机出现的,所以导致根源应该在闪盘上所存储的文件。
[蠕虫简单分析]:
蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A
[发作现象]:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
[行为分析]:
1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load=“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。
1、蠕虫病毒的可能性:
这个闪盘可能被感染有蠕虫病毒,在接入别的计算机上便会使得该计算机出现这种开机弹出无标题的记事本的情况,不过蠕虫病毒至少需要激活,也就是执行一下这个蠕虫病毒。但仅仅从症状来看又没有什么危害,应该不至于称作蠕虫病毒,所以暂时定为Joke程序
2、autorun.ini的小把戏:
在这个闪盘中存储有autorun.ini,也就是上面提到的可以用于激活程序的原因。如果autorun.ini中指定了程序,那么便会在双击打开闪盘的时候就激活了这个Joke程序。
当激活了这个Joke程序应该会有如下行为:
修改注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的名为Load的注册表键为:
C:\windows\system32\wincfgs.exe
修改%SystemRoot%\Notepad.exe文件的文件名为KB20060111.exe(或其它文件名),或者只是复制了一份Notepad.exe文件并命名为KB20060111.exe(或其它文件名)。
开机弹出的记事本便是这个KB20060111.exe文件了,诱发这个KB20060111.exe的启动可能不是常规启动项,而是wincfgs.exe这个文件启动(呼叫)KB20060111.exe文件的。
就是说KB20060111.exe这个文件并非病毒或者Joke程序本身,其实KB20060111.exe就是一个记事本程序(这也就是为什么KB20060111.exe文件的图标也是一个记事本程序的图标的缘故)。另外没有清理wincfgs.exe的计算机再次接入一个干净的移动存储设备可能会再次传染这个移动存储设备。
那么解决办法就出来了:
1、修改注册表
a.运行“regedit”启动注册表编辑器;
b.分别删除注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
下的Load注册表键里的键值内容。
不放心的话可以搜索“wincfgs.exe”的注册表键并删除之
由于没有得到wincfgs.exe样本文件,所以无法准确判断有关注册表项,但是可以直接使用Hijackthis修复类似这个项目:
F3 - REG:win.ini: load=C:\windows\system32\wincfgs.exe
2、删除文件
%SystemRoot%\system32\wincfgs.exe
%SystemRoot%\KB20060111.exe
上述是解决被感染的计算机的解决办法,下面还要处理一下有问题的移动存储设备:
打开移动存储设备下的autorun.ini文件,查看其中指定的文件是哪个并且删除这个文件。
删除移动存储设备下的autorun.ini文件,这个文件一般是隐藏的,所以需要设置文件夹选项为显示所有文件和文件夹选项的。
开机弹出desktop.ini标题的记事本
关键字词:开机弹出记事本 desktop.ini 开机弹出desktop.ini记事本
在HelpOnline论坛曾经碰到如此案例:
开机弹出标题为desktop.ini的记事本,并且正文内容如下:
————————————————————————————————
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787
————————————————————————————————
遇到此故障的用户所提交的Hijackthis扫描日志均未发现可疑启动项,但是使用江民的木马一扫光(此组件在KV2005/KV2006中均包含)可以发现有关启动项,如图所示:
所以解决办法为删除下面位置所含有的desktop.ini文件:
%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\启动
%SystemDrive%\Documents and Settings\All Users\「开始」菜单\程序\
%SystemDrive%\Documents and Settings\All Users\「开始」菜单
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单\程序\启动
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单\程序\
%SystemDrive%\Documents and Settings\[CurrentUser]\「开始」菜单
*[CurrentUser]=当前用户
一篇微软的帮助与支持文档也证实了上述方法的准确性:
http://support.microsoft.com/kb/330132/zh-cn
还有个方便的方法 批处理删除注册表修改:
复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
然后运行,完毕后重启电脑
这是方法,绝对管用!每次开机,都会弹出一个空白记事本(但是运行msconfig启动项,又没的提示加载记事本)。虽然没多大影响,但感觉肯定是有问题。偶移动硬盘(或优盘)插到USB口时,点击盘符进入时,也会弹出空白记事本。随后,瑞星注册表监控程序显示将修改为“HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\windows\system32\wincfgs.exe”。
会在每个磁盘根目录下面生成一个desktop.ini(移动设备有的会创建autorun.inf).
解决方法:(可到这里下载批处理附件--解决开机自动打开记事本,直接一次解决)
1.批处理删除注册表修改:
复制下面文字到记事本,另存为“Wincfgs_kill.bat”(注意保存时选择文件类型为“所有文件”)
echo off
tskill KB20060111
tskill wincfgs
del %windir%\kb20060111.exe
del %windir%\system32\wincfgs.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "load" /t REG_SZ /d "" /f
2.移动设备解决方法(以优盘为例):
连接好USB后,打开我的电脑,点右键选择打开(不要直接点击打开或点“open”),然后打开菜单栏的"工具"->"文件夹选项"->"查看",去掉“隐藏受保护的系统文件(推荐)”前面的勾。删除掉优盘里面的desktop.ini,wincfgs.exe和autorun.inf
移动硬盘的手动删除每个盘符下面的desktop.ini,wincfgs.exe和autorun.inf文件。 另外一种手动解决方法传播途径:U盘等移动存储危害性:暂无破坏性,只是开机跳出记事本,杀毒软件不能查出病毒。
手动删除方法:
用任务管理器或者木马杀客或者HijackThis结束wincfgs进程,
删除C:\WINDOWS\KB20060111.exe(也许文件名不同,和记事本一样的蓝色图标)
和C:\windows\system32\wincfgs.exe(黄色问号图标的隐藏系统文件)。
开始-运行-regedit,进入注册表,搜索注册表删除wincfgs.exe
比如删除注册表以下项/子项:没有的话当然不用删除了!!!
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICacheNcB)1Z
C:\WINDOWS\KB20060111.exec>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load=b*DZs
再运行msconfig或者在[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项清理开机启动项。 此现象是蠕虫行为,特此提醒广大网友警惕。
这个蠕虫目前绝大多数的主流杀毒软件都可以查杀,请发现此现象的朋友升级杀毒软件进行杀毒!
以下是对此蠕虫做的一些简单分析:蠕虫名称:Worm.Win32.Delf.aj(AVP)
蠕虫别名:Trojan.Spy.UsbSpy.a(瑞星)、TrojanSpy.USBSpy.a(江民)
蠕虫大小:47,104字节
加壳方式:UPX
MD5:07adddef653a702b9a11edbcee07e82b
CRC32:100A382A
发作现象:
电脑开机时会自动弹出记事本,会生成wincfgs.exe、KB20060111.exe等文件
行为分析:
1. 在注册表中创建USBSpyRunMutex互斥量,避免重复感染。
2. 在系统中生成
C:\%system%\wincfgs.exe(系统、隐藏、只读属性)
C:\%WINDOWS%\KB20060111.exe(大小66,560 字节,非病毒,是记事本程序)
3. 在注册表中添加:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Load =“C:\windows\system32\wincfgs.exe”
4. 在移动设备中生成RECYCLER\RECYCLER目录和autorun.inf,在这个目录下生成autorun.exe、desktop.ini。
autorun.inf的内容:
[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe
shellexecute=.\RECYCLER\RECYCLER\autorun.exe
autorun.exe同wincfgs.exe
desktop.ini的内容:
[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}
由此可见,当含有病毒的移动设备接入电脑时,蠕虫会被自动运行。
请问记事本是空白的吗?
如果不是空白的而且内容可以看懂,或者干脆是空白的,那么可以用超级兔子\雅虎助手等检查.
如果不是空白的而且内容乱码,请检查你的文件打开方式关联.
你在注册表里打开这个
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
看Run里有没有东西有的话删了就好了
开始 程序 启动 看看启动里面有没有记事本的快捷方式,有的话删除就行了,如果没有的话,就在运行里输入msconfig 找到启动项 删除就行了 删除后注销系统再重新登陆 OK
是不是在策略里面做了启动脚本哦
病毒?
街机游戏下载后为什么会变成记事本?
一般下载的都是压缩包zip格式或者rar格式的。如果下载后成了笔记本格式,就把它修改成压缩包格式试一下,如果不行,就重新下一个。
为什么我电脑最近老是关不掉,要关好几次,这次好了,怎么都关不掉了...
引起Windows系统出现关机故障的主要原因有:选择退出Windows时的声音文件损坏;不正确配置或损坏硬件;BIOS的设置不兼容;在BIOS中的“高级电源管理”或“高级配置和电源接口”的设置不适当;没有在实模式下为视频卡分配一个IRQ;某一个程序或TSR程序可能没有正确关闭;加载了一个不兼容的、损坏的或冲突的设备驱动程序等等。
电脑开机后什么都打不开,也不能正常关机,怎么回事
“load=”后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行。 System.ini文件 使用“记事本”打开System.ini文件,找到[boot]段下“shell=”语句,该语句默认为“shell=Explorer.exe”,启动的时候运行Windows外壳程序explorer.exe。病毒可不客气,如“妖之吻”病毒干脆把它改成“shell=c:\\yzw.exe”...
电脑为什么关不了机
五.检查是不是“高级电源管理(APM)”功能也可引起关机死机或黑屏问题,可打开“设备管理器”,打开“系统设备”。在“高级电源管理”中取消“启用电源管理”选择。如果计算机正常关机,则问题的原因可能在于APM。" 按照我的方法操作解决问题,不行再问我。 为什么电脑关不了机了怎样解决 您好 这是显卡引起的电脑开不...
电脑打开记事本会出现“0x01013141”指令引用的“0xffffffa4”内存,该...
例一:打开IE浏览器或者没过几分钟就会出现"0x70dcf39f"指令引用的"0x00000000"内存。该内存不能为“read”。要终止程序,请单击“确定”的信息框,单击“确定”后,又出现“发生内部错误,您正在使用的其中一个窗口即将关闭”的信息框,关闭该提示信息后,IE浏览器也被关闭。 解决方法:修复或升级IE浏览器,同时打上...
如何用命令打开记事本
问题一:怎么用运行命令打开已存在的记事本文件? 开始==>运行, notepad x:\\..\\..\\x.txt 例如:骇otepad c:\\x.txt 问题二:在cmd中运行打开记事本输入什么命令? notepad 问题三:在DOS里面如何打开记事本? 记事本程序存放在system32目录下,只要切换到该目录,直接运行就可以了。具体方法如...
网吧电脑上的记事本如保存密码关机后还在吗
不会在的 网吧的系统是重启后会还原的,用的是还原精灵,它的原理不是记录磁盘读取,重启后再把删除的文件恢复、移动的文件还原到原位置等等,所以你的保存是不会存在的
电脑老是自动弹出搜索框,是什么原因?
6.打到C:\\WINDOWS\\system32\\drivers\\etc\\hosts文件用记事本打开检查下网址之类的有就要删除。(注意WIN7默认是隐藏状态的) 7.重新修复下IE浏览器,可以用第三方软件这里就不推荐了免得广告,可以百度搜索下。(也可以用命令先用这个regsvr32 actxprxy.dll 再用这个regsvr32 shdocvw.dll 结合使用)8.最...
电脑问题
至于其它一些品牌机所使用的BIOS也都可以在电脑启动时注意察看屏幕提示按相应的键来进入设置菜单。 二、怎样选择项目和更改参数 当我们进入BIOS设置菜单后,无论哪一种BIOS都会在菜单的特定位置显示选择项目和更改参数的操作方法,另外在进入具体项目设置菜单后,除了为用户显示能够选择的具体设置参数外,还将为用户提供一至...
为什么关机后还有微信电话打进来呢?
微信支持跨通信运营商、跨操作系统平台通过网络快速发送免费(需消耗少量网络流量)语音短信、视频、图片和文字,同时,也可以使用通过共享流媒体内容的资料和基于位置的社交插件“摇一摇”、“朋友圈”、“公众平台”、“语音记事本”等服务插件。截止到2016年第二季度,微信已经覆盖中国94%以上的智能手机,...
斐炭依诺: 这种情况,大多为修改了系统desktop配置文件所致,要修改它们,必须先显示隐藏文件,在资源管理器窗口,点击“布局”下拉菜单,选择“文件夹和搜索选项”.在“查看”的选项卡,把“隐藏受保护的操作系统文件“和”隐藏已知文件扩...
南开区15612983588: 为什么我的电脑开机后会自动打开一个记事本 - ?
斐炭依诺: 1、开始--所有程序--“启动”中如果有不须要开机的启动程序或文件删除.2、使用第三方工具比如金山卫士、超级兔子等禁用不必要开机启动的程序、服务等.3、点击“开始”--“运行”(或用快捷键“Windows键+R键”打开运行栏,输入...
南开区15612983588: 开机时总是出现记事本,怎么解决? - ?
斐炭依诺: 一开机就弹出个无标题的记事本,但是运行msconfig启动项,又没的提示加载记事本,移动硬盘(或优盘)插到USB口时,点击盘符进入时,也会弹出空白记事本.偶尔系统反应较慢;虽然也不是严重影响系统的进程和运行速度,但老是这样,容易让人产生不爽的感觉.于是我上网查了下,找出了点门道来.(后面列出的数据大都出自网上:-)). 由于这种情况都是在使用了钊缟僚痰囊贫
南开区15612983588: 我的电脑启动时总是自动打开记事本,请问是怎么回事,怎么解决? ?
斐炭依诺: 你好朋友, 进入注册表,查找,点开始---运行,输入regedit “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\” 删除Run下面的相应项就可以了; 或者在“开始”→“运行”处输入“msconfig”,把启动下面相应的那个程序前面的“√”去掉,重新启动计算机就可以了. 另外请检查一下病毒 祝你成功.
南开区15612983588: 电脑一开机就开机出现记事本,高手帮忙啊!!!! ?
斐炭依诺: 顺次点击开始、程序、启动.在启动里一定有记事本、右点它,删掉它.以后开机就不会自动弹出记事本了.
南开区15612983588: 电脑一开机总是自动打开记事本是怎么回事怎么关掉 - ?
斐炭依诺: 1. 查看开机启动项:左下角-开始-运行-输入msconfig 点击启动2. 把notepad.exe前面的勾选取消,然后重启电脑3. 使用第三方工具比如百度安全卫士,360等优化开机启动项
南开区15612983588: 我的电脑启动时总是自动打开记事本,请问是怎么回事 - ?
斐炭依诺: 这是因为系统将记事本的启动状态开启了,可在安全卫士中,将记事本的启动项设置成禁止开启启动,这样电脑开机时,记事本就不会自动更着启动了.电脑上有记事备忘的需要,除了使用系统自带的记事本、便笺等程序之外,还可以添加云便签敬业签使用.
南开区15612983588: 开机总是自动打开一个记事本该怎么办? - ?
斐炭依诺: 症状在启动计算机时,记事本将启动,并且包含以下文本行的一个或多个文本文档将出现在 Windows 桌面上:[.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787原因如果满足以下条件,则可能发生此问题...
南开区15612983588: 电脑在开机后在自动打开记事本是为何? - ?
斐炭依诺: 点击 开始-》程序-》启动 看看启动里是不是有这个文件,如果有的话就把它删去.其实,启动文件夹装的都是开机自动启动的程序,最好把它清空以免影响开机速度.
南开区15612983588: 我的电脑开机后会自动打开很多个记事本 - ?
斐炭依诺: 朋友您好,首先很明显您的计算机是中病毒了,以前我用GHOST作系统的时候,一开机就自动出现记事本,但是你的是打开什么图标都出现记事本,所以为了安全起见,我还是建议你赶快...
