什麼是AUTO.EXE
auto.exe是一種目前非常流行的計算機病毒,主要通過u盤進行傳播!
主要症狀
該病毒的主要症狀:除系統盤外,其它盤滑鼠左鍵雙擊打不開,右鍵單擊打開選單會出現一個OPEN的選項。每個盤都有兩個這樣的檔案:autorun.inf 和 sxs.exe,當然可能有些人並不是sxs.exe,而是以其它命名的*.exe的檔案。
怎么清除auto病毒
方法一:
其實最簡單的辦法就是在它沒有感染計算機上的其它檔案之前,格式化隨身碟,這樣病毒也就被一起刪除了。
一旦auto病毒已經感染了硬碟,這時候就稍微麻煩點了,因為它會ban掉防毒軟體執行檔。
此時解決方法如下:
在系統列上右鍵打開“”,在“進程”選項中找到SXS.EXE或SVOHOST.EXE(請看清每個字母的拼寫)進程,右鍵“結束進程”結束掉。之後即可使用防毒軟體殺auto病毒了。不過前提是你必須將電腦上的防毒軟體升級到最新的病毒庫。
該病毒是rose病毒的變種, rose病毒症狀:雙擊盤符無法打開,只能通過右鍵打開;幾天之後刪除系統NTDETECT.COM檔案,導致系統無法啟動。
傳播途徑:隨身碟、MP3、移動硬碟可見,此毒不除,電腦玩完。一般的防毒軟體基本只能查出來,但是都殺不了。
auto.exe病毒特徵
AUTO病毒又稱“落雪病毒”。症狀如下:
症狀1:每個盤符雙擊都打不開,點滑鼠右鍵出現“AUTO”字樣
症狀2:每個盤符出現“拒絕訪問”字樣。
症狀3:同時按【Ctrl】【Alt】【Del】三個鍵,在出現的選單中選擇【任務管理器】,在打開的任務管理器選單中,選擇【進程】,在【進程】選單中,仔細查找SXS或者SVOHOST(注意不是SVCHOST),然後結束這兩個檔案的進程,此時馬上可以使用較新的防毒軟體查殺該項病毒了。
此病毒最近十分流行,究其原因就是大家不注意類似通過隨身碟傳播的病毒的防護,拿來隨身碟(移動存儲)設備就雙擊,導致病毒十分容易的通過隨身碟傳播。
關於此類隨身碟病毒的防範方法見第4樓
此病毒的元兇為auto.exe 他是一個木馬下載器。通過隨身碟等移動存儲傳播到你的電腦中以後,在%system32%下面生成一個隨機8個字母和數字組合成的exe檔案
並同時生成隨機8個字母和數字組合的dll,由winlogon控制插入幾乎所有進程
以上檔案註冊成一個服務,服務名為隨機8位字母和數字組合的名稱
並在每個磁碟的根目錄下生成一個auto.exe和autorun.inf
本例中生成物如下:
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
註冊為如下服務:B12E7AC4
連線網路下載木馬,木馬下載的種類千變萬化,所以沒有一個專門的查殺方法。這裡我僅就我發現的下載的一些木馬舉例說明。
本例中木馬植入完畢以後生成如下檔案
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...
對應的sreng日誌如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
==================================
服務
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在運行的進程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
查殺方法
一.清除病毒主程式(隨機8位字母和數字組合的exe和dll)
必須首先清除auto.exe和其生成的隨機8位字母和數字組合的exe和dll,因為他是木馬群的萬惡之源!!
1.首先下載sreng這個軟體,地址見下方的擴展閱讀。
解壓縮後運行srengps.exe
依次點擊“啟動項目”-“服務”-“Win32服務應用程式” 之後勾選“隱藏經認證的微軟項目”
等待列表出來之後 查找那種不規則的隨機8位字母(大寫)和數字組合的服務
2.使用Auto.exe專殺增強版V1.0(最新版USBCLeanerV6已包含此組件不必重複下載),綜合分析了目前收到的所有Auto.exe的病毒特徵,採用自創的查殺分析引擎,對系統資料夾,各盤根目錄,註冊表項目,服務項目進行獨一排查,一般感染此病毒後重啟電腦一次就可以完全清除了.
