如何查殺auto

gao0907

如何查殺auto
auto.exe這個病毒是通過autorun.inf這個文件來傳播，也就是大家所熟悉的“U盤寄生蟲”病毒。這個病毒的運行能夠導致計算機無法顯示隱藏文件，手動無法修改注冊表內(nèi)容，所以必須借用一些工具來進行操作。本次操作使用的病毒分析工具是冰刃（IceSword）。用戶可以在百度搜索這個工具并下載使用。下面以kv2008為例詳細說下。
打開冰刃之后點一下下面的文件，然后點擊其中的一個盤符，以我們的實例就點C盤。

如圖可以看到D盤目錄下有auto.exe，實際上應該還有一個autorun.inf文件，這是因為開著監(jiān)控已經(jīng)把autorun.inf文件刪除，所以在這里不顯示.

右鍵點auto.exe，然后點復制，會彈出對話框，在里面輸入名字。我們在實例里面輸入auto.exe，把它弄到桌面上了，并且不是隱藏的文件。

打開殺毒軟件主界面(如果是簡潔操作臺窗口，那么就點一下最小化按鈕,即右上角最左邊的按鈕)。找到工具－》未知病毒檢測－》編輯樣本庫

添加樣本有兩個方法: 一是直接把文件拉到樣本庫里面，二是點新建樣本去找樣本添加。

之后點工具－》未知病毒檢測－》掃描樣本庫，這樣可以掃描出與樣本一樣的文件，即是與auto.exe一樣的文件。

這里需要注意的是：不光掃描出各個盤符下的auto.exe，還能掃描出一個C:\WINDOWS\system32下的八位隨機字符的文件，最近發(fā)現(xiàn)新變種的auto.exe釋放的都是這樣的文件，如果只手動刪除auto.exe的話，隔一會兒auto.exe還是會被釋放出來（不做任何操作也會出來）。

點殺毒就會把所有掃描出來的樣本刪除（注：這個操作是沒有備份的，所以最好之前就把auto.exe提取出來作為上報之用）。
之后強烈建議大家用一下工具里面的安全助手/流氓軟件清除功能清理一下惡意軟件。
最后進入windows和system32文件夾，把所有創(chuàng)建日期和修改日期為最近的exe和dll文件提取出來，看看殺毒軟件能否殺到，不能殺到的文件就壓縮發(fā)到virus@jiangmin.com進行上報。（最后用SRENG2.5點啟動項目－》服務－》WIN32服務應用程序－》隱藏已認證的微軟項目－》找到那個八位隨機字符的服務，把它刪除。）