-
auto.exe
鎖定
- 中文名
- auto.exe
- 定 義
- 是一種目前非常流行的計算機病毒
- 常見症狀
- 鼠標左鍵雙擊打不開
- 清除auto病毒
- 格式化U盤
- 病毒特徵
- 每個盤符出現“拒絕訪問”字樣
- 查殺方法
- 清除病毒主程序
目錄
- 1 什麼是AUTO.EXE
- 2 主要症狀
- 3 怎麼清除auto病毒
- 4 auto.exe病毒特徵
- 5 查殺方法
auto.exe什麼是AUTO.EXE
auto.exe是一種目前非常流行的計算機病毒,主要通過u盤進行傳播!
auto.exe主要症狀
該病毒的主要症狀:除系統盤外,其它盤鼠標左鍵雙擊打不開,右鍵單擊打開菜單會出現一個OPEN的選項。每個盤都有兩個這樣的文件:autorun.inf 和 sxs.exe,當然可能有些人並不是sxs.exe,而是以其它命名的*.exe的文件。
auto.exe怎麼清除auto病毒
方法一:
其實最簡單的辦法就是在它沒有感染計算機上的其它文件之前,格式化U盤,這樣病毒也就被一起刪除了。
一旦auto病毒已經感染了硬盤,這時候就稍微麻煩點了,因為它會ban掉殺毒軟件可執行文件。
此時解決方法如下:
在任務欄上右鍵打開“”,在“進程”選項中找到SXS.EXE或SVOHOST.EXE(請看清每個字母的拼寫)進程,右鍵“結束進程”結束掉。之後即可使用殺毒軟件殺auto病毒了。不過前提是你必須將電腦上的殺毒軟件升級到最新的病毒庫。
該病毒是rose病毒的變種, rose病毒症狀:雙擊盤符無法打開,只能通過右鍵打開;幾天之後刪除系統NTDETECT.COM文件,導致系統無法啓動。
auto.exeauto.exe病毒特徵
AUTO病毒又稱“落雪病毒”。症狀如下:
症狀1:每個盤符雙擊都打不開,點鼠標右鍵出現“AUTO”字樣
症狀2:每個盤符出現“拒絕訪問”字樣。
症狀3:同時按【Ctrl】【Alt】【Del】三個鍵,在出現的菜單中選擇【任務管理器】,在打開的任務管理器菜單中,選擇【進程】,在【進程】菜單中,仔細查找SXS或者SVOHOST(注意不是SVCHOST),然後結束這兩個文件的進程,此時馬上可以使用較新的殺毒軟件查殺該項病毒了。
此病毒最近十分流行,究其原因就是大家不注意類似通過U盤傳播的病毒的防護,拿來U盤(移動存儲)設備就雙擊,導致病毒十分容易的通過U盤傳播。
關於此類U盤病毒的防範方法見第4樓
此病毒的元兇為auto.exe 他是一個木馬下載器。通過U盤等移動存儲傳播到你的電腦中以後,在%system32%下面生成一個隨機8個字母和數字組合成的exe文件
並同時生成隨機8個字母和數字組合的dll,由winlogon控制插入幾乎所有進程
以上文件註冊成一個服務,服務名為隨機8位字母和數字組合的名稱
並在每個磁盤的根目錄下生成一個auto.exe和autorun.inf
本例中生成物如下:
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
註冊為如下服務:B12E7AC4
連接網絡下載木馬,木馬下載的種類千變萬化,所以沒有一個專門的查殺方法。這裏我僅就我發現的下載的一些木馬舉例説明。
本例中木馬植入完畢以後生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...
對應的sreng日誌如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
==================================
服務
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在運行的進程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
auto.exe查殺方法
一.清除病毒主程序(隨機8位字母和數字組合的exe和dll)
必須首先清除auto.exe和其生成的隨機8位字母和數字組合的exe和dll,因為他是木馬羣的萬惡之源!!
1.首先下載sreng這個軟件,地址見下方的擴展閲讀。
解壓縮後運行srengps.exe
依次點擊“啓動項目”-“服務”-“Win32服務應用程序” 之後勾選“隱藏經認證的微軟項目”
等待列表出來之後 查找那種不規則的隨機8位字母(大寫)和數字組合的服務
