auto.exe

　　auto.exe是一种目前非常流行的 计算机病毒，主要通过 u盘进行传播！

　　该病毒的主要症状:除 系统盘外,其它盘鼠标左键双击打不开,右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样的文件: autorun.inf 和 sxs .exe,当然可能有些人并不是 sxs.exe,而是以其它命名的*.exe的文件。

　　方法一：
　　其实最简单的办法就是在它没有感染计算机上的其它文件之前，格式化 U盘，这样病毒也就被一起删除了。
　　一旦 auto病毒已经感染了硬盘，这时候就稍微麻烦点了，因为它会 ban掉 杀毒软件 可执行文件。
　　此时解决方法如下：
　　在 任务栏上右键打开“”，在“进程”选项中找到 SXS.EXE或SVOHOST.EXE（请看清每个字母的拼写）进程，右键“结束进程”结束掉。之后即可使用杀毒软件杀auto病毒了。不过前提是你必须将电脑上的杀毒软件升级到最新的 病毒库。
　　auto病毒彻底 专杀工具和免疫补丁：
　　http://www.virus-kill.cn/soft/auto.htm
　　该病毒是 rose病毒的变种, rose病毒症状：双击 盘符无法打开，只能通过右键打开；几天之后删除系统 NTDETECT.COM文件，导致系统无法启动。
　　 传播途径：U盘、MP3、 移动硬盘可见，此毒不除，电脑玩完。一般的杀毒软件基本只能查出来,但是都杀不了。

　　 AUTO病毒又称“ 落雪病毒”。症状如下：
　　症状1：每个盘符双击都打不开，点鼠标右键出现“AUTO”字样
　　症状2：每个盘符出现“拒绝访问”字样。
　　症状3：同时按【 Ctrl】【Alt】【Del】三个键，在出现的菜单中选择【 任务管理器】，在打开的任务管理器菜单中，选择【进程】，在【进程】菜单中，仔细查找SXS或者SVOHOST（注意不是 SVCHOST），然后结束这两个文件的进程，此时马上可以使用较新的 杀毒软件查杀该项病毒了。
　　此病毒最近十分流行，究其原因就是大家不注意类似通过U盘传播的病毒的防护，拿来U盘（ 移动存储）设备就双击，导致病毒十分容易的通过U盘传播。
　　关于此类 U盘病毒的防范方法见第4楼
　　此病毒的元凶为auto.exe 他是一个 木马下载器。通过U盘等移动存储传播到你的电脑中以后，在% system32%下面生成一个随机8个字母和数字组合成的 exe文件
　　并同时生成随机8个字母和数字组合的 dll,由winlogon控制插入几乎所有进程
　　以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称
　　并在每个磁盘的根目录下生成一个auto.exe和autorun.inf
　　本例中 生成物如下：
　　C:\ WINDOWS\system32\E2050308.DLL
　　C:\WINDOWS\system32\ F2F187EC.EXE
　　注册为如下服务：B12E7AC4
　　连接网络 下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。
　　本例中木马植入完毕以后生成如下文件
　　C:\WINDOWS\system32\AVPSrv.dll
　　C:\WINDOWS\system32\cmdbcs.dll
　　C:\WINDOWS\system32\DbgHlp32.dll
　　C:\WINDOWS\system32\DiskMan32.dll
　　C:\WINDOWS\system32\Kvsc3.dll
　　C:\WINDOWS\system32\mppds.dll
　　C:\WINDOWS\system32\MsIMMs32.dll
　　C:\WINDOWS\system32\nslookupi.exe
　　C:\WINDOWS\system32\NVDispDrv.dll
　　C:\WINDOWS\system32\upxdnd.dll
　　C:\WINDOWS\system32\ WinForm.dll
　　C:\WINDOWS\AVPSrv.exe
　　C:\WINDOWS\cmdbcs.exe
　　C:\WINDOWS\DbgHlp32.exe
　　C:\WINDOWS\DiskMan32.exe
　　C:\WINDOWS\Kvsc3.exe
　　C:\WINDOWS\mppds.exe
　　C:\WINDOWS\MsIMMs32.exe
　　C:\WINDOWS\NVDispDrv.exe
　　C:\WINDOWS\upxdnd.exe
　　C:\WINDOWS\WinForm.exe
　　...
　　对应的 sreng日志如下：
　　[ HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run]
　　<mppds><C:\WINDOWS\mppds.exe> []
　　<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
　　<DiskMan32><C:\WINDOWS\kterzx.exe> []
　　<WinForm><C:\WINDOWS\WinForm.exe> []
　　<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
　　<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
　　<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
　　<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
　　<upxdnd><C:\WINDOWS\upxdnd.exe> []
　　<NVDispDrv><C:\WINDOWS\kterzx.exe> []
　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run]
　　<MSDWG32><LYLoadbr.exe> [ N/A]
　　<MSDCG32 ><LYLeador.exe> [N/A]
　　<MSDOG32><LYLoador.exe> [N/A]
　　<MSDSG32><LYLoadar.exe> [N/A]
　　<MSDMG32><LYLoadmr.exe> [N/A]
　　<MSDHG32><LYLoadhr.exe> [N/A]
　　<MSDQG32><LYLoadqr.exe> [N/A]
　　==================================
　　服务
　　[B12E7AC4 / B12E7AC4][Stopped/ Auto Start]
　　<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
　　==================================
　　正在运行的进程
　　[ PID: 1672][C:\WINDOWS\ Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_ sp2_rtm.040803-2158)]
　　[C:\WINDOWS\system32\mppds.dll] [N/A, ]
　　[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
　　[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
　　[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
　　[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
　　[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
　　[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
　　[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
　　[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
　　[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
　　[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
　　==================================
　　 Autorun.inf
　　[C:\]
　　[ AutoRun]
　　 open=auto.exe
　　 shellexecute=auto.exe
　　shell\Auto\command=auto.exe
　　[D:\]
　　[AutoRun]
　　open=auto.exe
　　shellexecute=auto.exe
　　shell\Auto\command=auto.exe
　　[E:\]
　　[AutoRun]
　　open=auto.exe
　　shellexecute=auto.exe
　　shell\Auto\command=auto.exe

　　一. 清除病毒主程序（随机8位字母和数字组合的 exe和dll）
　　必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！
　　1.首先下载sreng这个软件（http://download.kztechs.com/files/sreng2.zip）
　　 解压缩后运行srengps.exe
　　依次点击“启动项目”-“服务”-“ Win32服务 应用程序” 之后勾选“隐藏经认证的微软项目”
　　等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务
　　2.使用Auto.exe专杀增强版V1.0(最新版USBCLeanerV6已包含此组件不必重复下载)，综合分析了目前收到的所有Auto.exe的 病毒特征,采用自创的查杀分析引擎,对 系统文件夹,各盘根目录,注册表项目,服务项目进行独一排查,一般感染此病毒后重启电脑一次就可以完全清除了.