属于rose病毒的变种，主要通过U盘、MP3等可移动存储设备传播，使用unlocker解锁并删除sxs.exe和svohst.exe可以基本清除。该病毒的主要症状：除系统盘外，其它盘鼠标左键双击打不开，右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样的文件：autorun.inf 和 sxs.exe,当然可能有些人并不是sxs.exe,而是以其它命名的*.exe的文件。

什么是AUTO.EXE

主要症状

怎么清除auto病毒

auto.exe病毒特征

查杀方法

什么是AUTO.EXE

auto.exe是一种目前非常流行的计算机病毒，主要通过u盘进行传播！

主要症状

该病毒的主要症状:除系统盘外,其它盘鼠标左键双击打不开,右键单击打开菜单会出现一个OPEN的选项。每个盘都有两个这样的文件:autorun.inf 和 sxs.exe,当然可能有些人并不是sxs.exe,而是以其它命名的*.exe的文件。

怎么清除auto病毒

方法一：

其实最简单的办法就是在它没有感染计算机上的其它文件之前，格式化U盘，这样病毒也就被一起删除了。

一旦auto病毒已经感染了硬盘，这时候就稍微麻烦点了，因为它会ban掉杀毒软件可执行文件。

此时解决方法如下：

在任务栏上右键打开“”，在“进程”选项中找到SXS.EXE或SVOHOST.EXE（请看清每个字母的拼写）进程，右键“结束进程”结束掉。之后即可使用杀毒软件杀auto病毒了。不过前提是你必须将电脑上的杀毒软件升级到最新的病毒库。

该病毒是rose病毒的变种, rose病毒症状：双击盘符无法打开，只能通过右键打开；几天之后删除系统NTDETECT.COM文件，导致系统无法启动。

传播途径：U盘、MP3、移动硬盘可见，此毒不除，电脑玩完。一般的杀毒软件基本只能查出来,但是都杀不了。

auto.exe病毒特征

AUTO病毒又称“落雪病毒”。症状如下：

症状1：每个盘符双击都打不开，点鼠标右键出现“AUTO”字样

症状2：每个盘符出现“拒绝访问”字样。

症状3：同时按【Ctrl】【Alt】【Del】三个键，在出现的菜单中选择【任务管理器】，在打开的任务管理器菜单中，选择【进程】，在【进程】菜单中，仔细查找SXS或者SVOHOST（注意不是SVCHOST），然后结束这两个文件的进程，此时马上可以使用较新的杀毒软件查杀该项病毒了。

此病毒最近十分流行，究其原因就是大家不注意类似通过U盘传播的病毒的防护，拿来U盘（移动存储）设备就双击，导致病毒十分容易的通过U盘传播。

关于此类U盘病毒的防范方法见第4楼

此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后，在%system32%下面生成一个随机8个字母和数字组合成的exe文件

并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程

以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下：

C:\\WINDOWS\\system32\\E2050308.DLL

C:\\WINDOWS\\system32\\F2F187EC.EXE

注册为如下服务：B12E7AC4

连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

本例中木马植入完毕以后生成如下文件

C:\\WINDOWS\\system32\\AVPSrv.dll

C:\\WINDOWS\\system32\\cmdbcs.dll

C:\\WINDOWS\\system32\\DbgHlp32.dll

C:\\WINDOWS\\system32\\DiskMan32.dll

C:\\WINDOWS\\system32\\Kvsc3.dll

C:\\WINDOWS\\system32\\mppds.dll

C:\\WINDOWS\\system32\\MsIMMs32.dll

C:\\WINDOWS\\system32\slookupi.exe

C:\\WINDOWS\\system32\VDispDrv.dll

C:\\WINDOWS\\system32\\upxdnd.dll

C:\\WINDOWS\\system32\\WinForm.dll

C:\\WINDOWS\\AVPSrv.exe

C:\\WINDOWS\\cmdbcs.exe

C:\\WINDOWS\\DbgHlp32.exe

C:\\WINDOWS\\DiskMan32.exe

C:\\WINDOWS\\Kvsc3.exe

C:\\WINDOWS\\mppds.exe

C:\\WINDOWS\\MsIMMs32.exe

C:\\WINDOWS\VDispDrv.exe

C:\\WINDOWS\\upxdnd.exe

C:\\WINDOWS\\WinForm.exe

...

对应的sreng日志如下：

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

<mppds><C:\\WINDOWS\\mppds.exe> []

<Kvsc3><C:\\WINDOWS\\Kvsc3.exe> []

<DiskMan32><C:\\WINDOWS\\kterzx.exe> []

<WinForm><C:\\WINDOWS\\WinForm.exe> []

<AVPSrv><C:\\WINDOWS\\AVPSrv.exe> []

<MsIMMs32><C:\\WINDOWS\\MsIMMs32.exe> []

<cmdbcs><C:\\WINDOWS\\cmdbcs.exe> []

<DbgHlp32><C:\\WINDOWS\\DbgHlp32.exe> []

<upxdnd><C:\\WINDOWS\\upxdnd.exe> []

<NVDispDrv><C:\\WINDOWS\\kterzx.exe> []

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run]

<MSDWG32><LYLoadbr.exe> [N/A]

<MSDCG32 ><LYLeador.exe> [N/A]

<MSDOG32><LYLoador.exe> [N/A]

<MSDSG32><LYLoadar.exe> [N/A]

<MSDMG32><LYLoadmr.exe> [N/A]

<MSDHG32><LYLoadhr.exe> [N/A]

<MSDQG32><LYLoadqr.exe> [N/A]

==================================

服务

[B12E7AC4 / B12E7AC4][Stopped/Auto Start]

<C:\\WINDOWS\\system32\\F2F187EC.EXE -k><Microsoft Corporation>

==================================

正在运行的进程

[PID: 1672][C:\\WINDOWS\\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\\WINDOWS\\system32\\mppds.dll] [N/A, ]

[C:\\WINDOWS\\system32\\upxdnd.dll] [N/A, ]

[C:\\WINDOWS\\system32\\AVPSrv.dll] [N/A, ]

[C:\\WINDOWS\\system32\\DiskMan32.dll] [N/A, ]

[C:\\WINDOWS\\system32\VDispDrv.dll] [N/A, ]

[C:\\WINDOWS\\system32\\MsIMMs32.dll] [N/A, ]

[C:\\WINDOWS\\system32\\WinForm.dll] [N/A, ]

[C:\\WINDOWS\\system32\\cmdbcs.dll] [N/A, ]

[C:\\WINDOWS\\system32\\DbgHlp32.dll] [N/A, ]

[C:\\WINDOWS\\system32\\Kvsc3.dll] [N/A, ]

[C:\\WINDOWS\\system32\\E2050308.DLL] [Microsoft Corporation, ]

==================================

Autorun.inf

[C:\\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\\Auto\\command=auto.exe

[D:\\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\\Auto\\command=auto.exe

[E:\\]

[AutoRun]

open=auto.exe

shellexecute=auto.exe

shell\\Auto\\command=auto.exe

查杀方法

一.清除病毒主程序（随机8位字母和数字组合的exe和dll）

必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！

1.首先下载sreng这个软件,地址见下方的扩展阅读。

解压缩后运行srengps.exe

依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”

等待列表出来之后 查找那种不规则的随机8位字母（大写）和数字组合的服务

2.使用Auto.exe专杀增强版V1.0(最新版USBCLeanerV6已包含此组件不必重复下载)，综合分析了目前收到的所有Auto.exe的病毒特征,采用自创的查杀分析引擎,对系统文件夹,各盘根目录,注册表项目,服务项目进行独一排查,一般感染此病毒后重启电脑一次就可以完全清除了.