请输入您要查询的百科知识:

 

词条 auto.exe
释义

属于rose病毒的变种,主要通过U盘、MP3等可移动存储设备传播,使用unlocker解锁并删除sxs.exe和svohst.exe可以基本清除。该病毒的主要症状:除系统盘外,其它盘鼠标左键双击打不开,右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样的文件:autorun.inf 和 sxs.exe,当然可能有些人并不是sxs.exe,而是以其它命名的*.exe的文件。

什么是AUTO.EXE

auto.exe是一种目前非常流行的计算机病毒,主要通过u盘进行传播!

主要症状

该病毒的主要症状:除系统盘外,其它盘鼠标左键双击打不开,右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样的文件:autorun.inf 和 sxs.exe,当然可能有些人并不是sxs.exe,而是以其它命名的*.exe的文件。

怎么清除auto病毒

方法一:

其实最简单的办法就是在它没有感染计算机上的其它文件之前,格式化U盘,这样病毒也就被一起删除了。

一旦auto病毒已经感染了硬盘,这时候就稍微麻烦点了,因为它会ban掉杀毒软件可执行文件。

此时解决方法如下:

在任务栏上右键打开“”,在“进程”选项中找到SXS.EXE或SVOHOST.EXE(请看清每个字母的拼写)进程,右键“结束进程”结束掉。之后即可使用杀毒软件杀auto病毒了。不过前提是你必须将电脑上的杀毒软件升级到最新的病毒库。

该病毒是rose病毒的变种, rose病毒症状:双击盘符无法打开,只能通过右键打开;几天之后删除系统NTDETECT.COM文件,导致系统无法启动。

传播途径:U盘、MP3、移动硬盘可见,此毒不除,电脑玩完。一般的杀毒软件基本只能查出来,但是都杀不了。

auto.exe病毒特征

AUTO病毒又称“落雪病毒”。症状如下:

症状1:每个盘符双击都打不开,点鼠标右键出现“AUTO”字样

症状2:每个盘符出现“拒绝访问”字样。

症状3:同时按【Ctrl】【Alt】【Del】三个键,在出现的菜单中选择【任务管理器】,在打开的任务管理器菜单中,选择【进程】,在【进程】菜单中,仔细查找SXS或者SVOHOST(注意不是SVCHOST),然后结束这两个文件的进程,此时马上可以使用较新的杀毒软件查杀该项病毒了。

此病毒最近十分流行,究其原因就是大家不注意类似通过U盘传播的病毒的防护,拿来U盘(移动存储)设备就双击,导致病毒十分容易的通过U盘传播。

关于此类U盘病毒的防范方法见第4楼

此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后,在%system32%下面生成一个随机8个字母和数字组合成的exe文件

并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程

以上文件注册成一个服务,服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下:

C:\\WINDOWS\\system32\\E2050308.DLL

C:\\WINDOWS\\system32\\F2F187EC.EXE

注册为如下服务:B12E7AC4

连接网络下载木马,木马下载的种类千变万化,所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

本例中木马植入完毕以后生成如下文件

C:\\WINDOWS\\system32\\AVPSrv.dll

C:\\WINDOWS\\system32\\cmdbcs.dll

C:\\WINDOWS\\system32\\DbgHlp32.dll

C:\\WINDOWS\\system32\\DiskMan32.dll

C:\\WINDOWS\\system32\\Kvsc3.dll

C:\\WINDOWS\\system32\\mppds.dll

C:\\WINDOWS\\system32\\MsIMMs32.dll

C:\\WINDOWS\\system32\slookupi.exe

C:\\WINDOWS\\system32\VDispDrv.dll

C:\\WINDOWS\\system32\\upxdnd.dll

C:\\WINDOWS\\system32\\WinForm.dll

C:\\WINDOWS\\AVPSrv.exe

C:\\WINDOWS\\cmdbcs.exe

C:\\WINDOWS\\DbgHlp32.exe

C:\\WINDOWS\\DiskMan32.exe

C:\\WINDOWS\\Kvsc3.exe

C:\\WINDOWS\\mppds.exe

C:\\WINDOWS\\MsIMMs32.exe

C:\\WINDOWS\VDispDrv.exe

C:\\WINDOWS\\upxdnd.exe

C:\\WINDOWS\\WinForm.exe

...

对应的sreng日志如下:

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<mppds><C:\\WINDOWS\\mppds.exe> []

<Kvsc3><C:\\WINDOWS\\Kvsc3.exe> []

<DiskMan32><C:\\WINDOWS\\kterzx.exe> []

<WinForm><C:\\WINDOWS\\WinForm.exe> []

<AVPSrv><C:\\WINDOWS\\AVPSrv.exe> []

<MsIMMs32><C:\\WINDOWS\\MsIMMs32.exe> []

<cmdbcs><C:\\WINDOWS\\cmdbcs.exe> []

<DbgHlp32><C:\\WINDOWS\\DbgHlp32.exe> []

<upxdnd><C:\\WINDOWS\\upxdnd.exe> []

<NVDispDrv><C:\\WINDOWS\\kterzx.exe> []

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]

<MSDWG32><LYLoadbr.exe> [N/A]

<MSDCG32 ><LYLeador.exe> [N/A]

<MSDOG32><LYLoador.exe> [N/A]

<MSDSG32><LYLoadar.exe> [N/A]

<MSDMG32><LYLoadmr.exe> [N/A]

<MSDHG32><LYLoadhr.exe> [N/A]

<MSDQG32><LYLoadqr.exe> [N/A]

==================================

服务

[B12E7AC4 / B12E7AC4][Stopped/Auto Start]

<C:\\WINDOWS\\system32\\F2F187EC.EXE -k><Microsoft Corporation>

==================================

正在运行的进程

[PID: 1672][C:\\WINDOWS\\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\\WINDOWS\\system32\\mppds.dll] [N/A, ]

[C:\\WINDOWS\\system32\\upxdnd.dll] [N/A, ]

[C:\\WINDOWS\\system32\\AVPSrv.dll] [N/A, ]

[C:\\WINDOWS\\system32\\DiskMan32.dll] [N/A, ]

[C:\\WINDOWS\\system32\VDispDrv.dll] [N/A, ]

[C:\\WINDOWS\\system32\\MsIMMs32.dll] [N/A, ]

[C:\\WINDOWS\\system32\\WinForm.dll] [N/A, ]

[C:\\WINDOWS\\system32\\cmdbcs.dll] [N/A, ]

[C:\\WINDOWS\\system32\\DbgHlp32.dll] [N/A, ]

[C:\\WINDOWS\\system32\\Kvsc3.dll] [N/A, ]

[C:\\WINDOWS\\system32\\E2050308.DLL] [Microsoft Corporation, ]

==================================

Autorun.inf

[C:\\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\\Auto\\command=auto.exe

[D:\\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\\Auto\\command=auto.exe

[E:\\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\\Auto\\command=auto.exe

查杀方法

一.清除病毒主程序(随机8位字母和数字组合的exe和dll)

必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll,因为他是木马群的万恶之源!!

1.首先下载sreng这个软件,地址见下方的扩展阅读。

解压缩后运行srengps.exe

依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”

等待列表出来之后 查找那种不规则的随机8位字母(大写)和数字组合的服务

2.使用Auto.exe专杀增强版V1.0(最新版USBCLeanerV6已包含此组件不必重复下载),综合分析了目前收到的所有Auto.exe的病毒特征,采用自创的查杀分析引擎,对系统文件夹,各盘根目录,注册表项目,服务项目进行独一排查,一般感染此病毒后重启电脑一次就可以完全清除了.

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/15 13:24:48