auto.exe

auto.exe

屬於rose病毒的變種,主要通過隨身碟、MP3等可移動存儲設備傳播,使用unlocker解鎖並刪除sxs.exe和svohst.exe可以基本清除。該病毒的主要症狀:除系統盤外,其它盤滑鼠左鍵雙擊打不開,右鍵單擊打開選單會出現一個OPEN的選項。每個盤都有兩個這樣的檔案:autorun.inf 和 sxs.exe,當然可能有些人並不是sxs.exe,而是以其它命名的*.exe的檔案。

基本信息

什麼是AUTO.EXE

auto.exe是一種目前非常流行的計算機病毒,主要通過u盤進行傳播!

主要症狀

該病毒的主要症狀:除系統盤外,其它盤滑鼠左鍵雙擊打不開,右鍵單擊打開選單會出現一個OPEN的選項。每個盤都有兩個這樣的檔案:autorun.inf 和 sxs.exe,當然可能有些人並不是sxs.exe,而是以其它命名的*.exe的檔案。

怎么清除auto病毒

方法一:

其實最簡單的辦法就是在它沒有感染計算機上的其它檔案之前,格式化隨身碟,這樣病毒也就被一起刪除了。

一旦auto病毒已經感染了硬碟,這時候就稍微麻煩點了,因為它會ban掉防毒軟體執行檔。

此時解決方法如下:

在系統列上右鍵打開“”,在“進程”選項中找到SXS.EXE或SVOHOST.EXE(請看清每個字母的拼寫)進程,右鍵“結束進程”結束掉。之後即可使用防毒軟體殺auto病毒了。不過前提是你必須將電腦上的防毒軟體升級到最新的病毒庫。

該病毒是rose病毒的變種, rose病毒症狀:雙擊盤符無法打開,只能通過右鍵打開;幾天之後刪除系統NTDETECT.COM檔案,導致系統無法啟動。

傳播途徑:隨身碟、MP3、移動硬碟可見,此毒不除,電腦玩完。一般的防毒軟體基本只能查出來,但是都殺不了。

auto.exe病毒特徵

AUTO病毒又稱“落雪病毒”。症狀如下:

症狀1:每個盤符雙擊都打不開,點滑鼠右鍵出現“AUTO”字樣

症狀2:每個盤符出現“拒絕訪問”字樣。

症狀3:同時按【Ctrl】【Alt】【Del】三個鍵,在出現的選單中選擇【任務管理器】,在打開的任務管理器選單中,選擇【進程】,在【進程】選單中,仔細查找SXS或者SVOHOST(注意不是SVCHOST),然後結束這兩個檔案的進程,此時馬上可以使用較新的防毒軟體查殺該項病毒了。

此病毒最近十分流行,究其原因就是大家不注意類似通過隨身碟傳播的病毒的防護,拿來隨身碟(移動存儲)設備就雙擊,導致病毒十分容易的通過隨身碟傳播。

關於此類隨身碟病毒的防範方法見第4樓

此病毒的元兇為auto.exe 他是一個木馬下載器。通過隨身碟等移動存儲傳播到你的電腦中以後,在%system32%下面生成一個隨機8個字母和數字組合成的exe檔案

並同時生成隨機8個字母和數字組合的dll,由winlogon控制插入幾乎所有進程

以上檔案註冊成一個服務,服務名為隨機8位字母和數字組合的名稱

並在每個磁碟的根目錄下生成一個auto.exe和autorun.inf

本例中生成物如下:

C:\WINDOWS\system32\E2050308.DLL

C:\WINDOWS\system32\F2F187EC.EXE

註冊為如下服務:B12E7AC4

連線網路下載木馬,木馬下載的種類千變萬化,所以沒有一個專門的查殺方法。這裡我僅就我發現的下載的一些木馬舉例說明。

本例中木馬植入完畢以後生成如下檔案

C:\WINDOWS\system32\AVPSrv.dll

C:\WINDOWS\system32\cmdbcs.dll

C:\WINDOWS\system32\DbgHlp32.dll

C:\WINDOWS\system32\DiskMan32.dll

C:\WINDOWS\system32\Kvsc3.dll

C:\WINDOWS\system32\mppds.dll

C:\WINDOWS\system32\MsIMMs32.dll

C:\WINDOWS\system32\nslookupi.exe

C:\WINDOWS\system32\NVDispDrv.dll

C:\WINDOWS\system32\upxdnd.dll

C:\WINDOWS\system32\WinForm.dll

C:\WINDOWS\AVPSrv.exe

C:\WINDOWS\cmdbcs.exe

C:\WINDOWS\DbgHlp32.exe

C:\WINDOWS\DiskMan32.exe

C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\mppds.exe

C:\WINDOWS\MsIMMs32.exe

C:\WINDOWS\NVDispDrv.exe

C:\WINDOWS\upxdnd.exe

C:\WINDOWS\WinForm.exe

...

對應的sreng日誌如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<mppds><C:\WINDOWS\mppds.exe> []

<Kvsc3><C:\WINDOWS\Kvsc3.exe> []

<DiskMan32><C:\WINDOWS\kterzx.exe> []

<WinForm><C:\WINDOWS\WinForm.exe> []

<AVPSrv><C:\WINDOWS\AVPSrv.exe> []

<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []

<cmdbcs><C:\WINDOWS\cmdbcs.exe> []

<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []

<upxdnd><C:\WINDOWS\upxdnd.exe> []

<NVDispDrv><C:\WINDOWS\kterzx.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<MSDWG32><LYLoadbr.exe> [N/A]

<MSDCG32 ><LYLeador.exe> [N/A]

<MSDOG32><LYLoador.exe> [N/A]

<MSDSG32><LYLoadar.exe> [N/A]

<MSDMG32><LYLoadmr.exe> [N/A]

<MSDHG32><LYLoadhr.exe> [N/A]

<MSDQG32><LYLoadqr.exe> [N/A]

==================================

服務

[B12E7AC4 / B12E7AC4][Stopped/Auto Start]

<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>

==================================

正在運行的進程

[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\mppds.dll] [N/A, ]

[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]

[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]

[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]

[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]

[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]

[C:\WINDOWS\system32\WinForm.dll] [N/A, ]

[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]

[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]

[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]

[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]

==================================

Autorun.inf

[C:\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\Auto\command=auto.exe

[D:\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\Auto\command=auto.exe

[E:\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\Auto\command=auto.exe

查殺方法

一.清除病毒主程式(隨機8位字母和數字組合的exe和dll)

必須首先清除auto.exe和其生成的隨機8位字母和數字組合的exe和dll,因為他是木馬群的萬惡之源!!

1.首先下載sreng這個軟體,地址見下方的擴展閱讀。

解壓縮後運行srengps.exe

依次點擊“啟動項目”-“服務”-“Win32服務應用程式” 之後勾選“隱藏經認證的微軟項目”

等待列表出來之後 查找那種不規則的隨機8位字母(大寫)和數字組合的服務

2.使用Auto.exe專殺增強版V1.0(最新版USBCLeanerV6已包含此組件不必重複下載),綜合分析了目前收到的所有Auto.exe的病毒特徵,採用自創的查殺分析引擎,對系統資料夾,各盤根目錄,註冊表項目,服務項目進行獨一排查,一般感染此病毒後重啟電腦一次就可以完全清除了.

相關詞條

相關搜尋

熱門詞條

聯絡我們