怎样清除每个盘都有的auto.exe病毒?0923

浴火之冰

怎样清除每个盘都有的auto.exe病毒?0923

来自：MACD论坛(bbs.macd.cn) 作者：浴火之冰 浏览：5953 回复：8

不知怎么,在每个盘根目录下都有这个文件,还有一个autorun.inf,删掉就又长出来,烦死了,请楼主指点.

我机子上装着卡巴斯基50专业版,正版的,也不杀不掉,

山中雾人

格式化硬盘即可，真的，你可以试一试看看。

淡淡体味

帮你查了一下，估计是使用染毒U盘引起的。
转一个解决方案，看看能不能有用：

这种病毒在每个驱动器下都有一个卷标AutoRun.inf文件，只要你双击驱动器，就会激活病毒，我们需要手工来删除AutoRun.inf这个文件，在“命令提示符”下输入“attrib
autorun.inf -s -h -r”去掉它的“系统”、“只读”、“隐藏”属性，这样输入“del
autorun.inf”才可以删除。接着进入注册表查找“COMMAND.EXE”键值项，找到后将整个shell子键删除。
解决的具体方法如下(以D盘为例)：
开始---运行---cmd（打开命令提示符）
D: dir /a a* （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否则无法删除 autorun.inf ，
del autorun.inf
到这里还没完，因为你双击了D盘盘符没有打开却得到一个错误。要求定位DESKTOP.exe，
这个时候自动运行的信息已经加入注册表了。下面清除注册表中相关信息：
开始
运行
regedit
编辑
查找
DESKTOP.exe
找到的第一个就是D盘的自动运行，删除整个shell子键
完毕.
重复以上操作数次，解决其他驱动器的问题，注册表中的信息是在一起的，在删除D盘
Shell/Open/Autorun的时候顺便都删除了吧。

rose病毒：
症状：双击盘符无法打开，只能通过右键打开；

传播途径：U盘、MP3、移动硬盘
检查方法：将文件夹选项--查看中的"隐藏受保护的操作系统文件（推荐）"前的勾去掉，并在此项下面选择“显示所有文件和文件夹”。然后打开任一盘符，如果发现有“rose.exe”和“AUTORUN.INF”文件，则已中毒。
解决方法：
手动：
结束rose.exe进程，然后删掉以下文件：各个盘符下的autorun.inf和rose.exe文件（包括自己的U盘等），c:/windows/system32/run.reg，c:/windows/system32/systemdate.ini(里面记录着删掉NTDETECT.COM文件的时间)，d:/systemfile.com文件；最后将注册表中HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下面的dll键值删掉，然后重启即可。

淡淡体味

也可以用我上传的拖拽式强制删除工具试一下

浴火之冰

最近出现的Trojan.Win32.Agent.vti的查杀举例(auto.exe)2007-09-04 09:19auto.exe的变种
特征和原来的完全相同
瑞星报的Trojan.Win32.Agent.vti只是这个病毒释放的一个dll,由于瑞星不能检测出病毒主程序，所以导致清除掉内存中的Trojan.Win32.Agent.vti以后，重启后病毒的主程序仍会释放那个dll,从而出现履杀不净的情况。
下面是关于这个病毒的简要分析和查杀方法：
File: auto.exe
Size: 21551 bytes
MD5: 17397C773EFF2D052BC3CBE66512DAB1
SHA1: B9B7383E6BE4111DF1889591F0BA0153FF1EE323
CRC32: 235B28FE

病毒生成物特点：
在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程（瑞星报的就是这个dll）
以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下：
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务：B12E7AC4

连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...

对应的sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]
<C:\WINDOWS\system32\F2F187EC.EXE -k><Microsoft Corporation>
==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe


查杀方法：
一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
1.首先下载sreng这个软件（http://download.kztechs.com/files/sreng2.zip）
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务



[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2)





然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）






在左边的资源管理器中打开C盘（系统盘）




删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf

%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE

至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下
打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<DiskMan32><C:\WINDOWS\kterzx.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<NVDispDrv><C:\WINDOWS\kterzx.exe> []

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll

最后需要修复或者重装瑞星杀毒软件，并一定修改你的网络游戏密码

另外此病毒一般通过U盘等移动存储传播，所以如果你电脑最近有插过移动存储，那么大致可以判断病毒是从移动存储传播到你的电脑里的。
对于此类病毒，烦请大家做好如下预防工作，不要再让这类病毒扩散了。（这种东西下载的木马很多，看日志眼都会花的）

1.关闭自动播放
在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。

2.锁住某些注册表权限
开始－运行－输入regedit,展开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，右键单击这个键，权限，把管理员的权限设置为拒绝。

3.可以使用某些第三方的U盘病毒免疫工具对系统进行免疫
如超级巡警的U盘病毒免疫器：http://update3.dswlab.com/antiautorun.zip

4.克服拿来陌生U盘就双击打开的方法！！！
最安全的打开U盘方式如下
打开我的电脑 点击菜单栏下方的 文件夹按钮（搜索右边的按钮）
从左边的资源管理器 进入U盘（同上面清除病毒时打开磁盘分区的方

浴火之冰

感谢淡淡版主回答.

用了近3个小时 ,总算解决了,方法如上楼文中,所要的文件一并传上来.

应当把这些制作和传播病毒的人统统枪毙,真他妈不是个玩儿艺!

浴火之冰

文件在这儿.

浴火之冰

不能编辑呀,怎么改?

淡淡体味

SREng常用操作说明 （2.5 ），我来单独发一贴吧