U盘病毒auto.exe的手工清除方法

2007年病毒、木马、恶意程序异常活跃，大有横行互联网，我是病毒我怕谁之势。很多网友都曾丢失过个人信息，这包括游戏帐号、QQ号码，甚至银行帐户等，造成这些帐号丢失的元凶，大概归纳起来有三种病毒：一是QQ尾巴病毒，二是下载者病毒，三是网马病毒。

一、QQ尾巴病毒中毒症状：自动的向QQ所有好友列表发送一句话，内容多以色情，诈骗为主。如：“这是我的照片”，“最近好久不见，十分想念，我自己做了一个网站”，还有的是“我最近遇到一些困难，有没有钱能接济下，这是我的银行卡号和开户信息等”。

二、下载者病毒：通过移动存储介质感染，如U盘、手机存储卡、DV/DC的存储卡。通常该病毒会伪装成一个.jpg.exe文件，由于多数用户只注意jpg，却没有注意后缀的.exe，当点击运行后，病毒会自动下载大量的盗号木马和做键盘记录，驻留在系统temp文件里面。这样机器就被远程控制了，当用户进行网银交易时，帐号、密码统统的都被远程控制者得到。

三、网马顾名思义就是网页木马，一些入侵者用入侵技术得到一些大流量访问站点的后台帐号，在主站上面挂上编写好的网页木马，在一些访问者访问网站的时候被悄无声息的安装到了本机上面，成为了一个带菌者。现在网马的种类也很多，利用的途径也曾出不穷，最近比较流行的有迅雷0day网马，ppstream网马，pplive网马，realplayer网马。

上面简单介绍了流行病毒、木马，而最近，U盘病毒非常盛行，最典型的就是就是auto.exe病毒。如图1：

图1

双击系统盘符时，出现让你选择用哪种关联文件打开的对话框，而右键单击时，弹出的菜单里增加了一个auto的选择，如果你的系统出现这个情况，那就代表系统已经被感染。

这种病毒出现已经有一段时间了，最近新变种为了躲避杀毒软件，利用了空字节写入，修改系统日期，以卡巴为例，如图2

图2

上图中卡巴（avp）是灰色的，而系统日期时间为2005年12月10日，如图3：

图3

我们把系统时间修改为正确后，再看一下下avp的颜色，如图4：

图4

分析：

该病毒被种植后，会自动访问一个地址为xxxx.xxxxx.com 的站点，下载随机生成的7位编码.exe文件，这些exe文件都保存在c:\documents and settings 下的local setting目录下面的tempporary internetfiles文件目录里面如图5：

图5

这里的update.txt和f2b4657b556.exe就是刚刚生成的木马程序，这个f2b4657b556.exe是随机生成的，经过测试，每次都不一样。病毒为了保全自己还会在system32下面生成大量的dll文件。如图6：

图6

从文件生成日期来看，都是最新生成的文件，而此前未中auto.exe的时候是没有这些DLL文件的，里面还有一个随机生成的.exe文件，生成日期为，12月9日。通过查看系统隐藏文件可以看到这些文件，在所有硬盘分区中都有auto.exe和autoruan.inf。直接删除是肯定不成的。因为在Windows目录里面，还有很多生成文件，比如扩展名为exe和log的文件及文件夹，如图7

图7

由于auto.exe带有进程注射，不能直接删除system32文件夹下新生成的dll和exe文件，可以使用icesword找出有问题的进程。先终止可疑相关进程，再删除文件。

下面是可疑文件：

upxdnd.dll，LotusHlp.dll，mppds.dll，SHQ.dll，SHQMANGR.dll，LYMANGR.dll，mhshal.dat，LYLOADMR.exe，K119742729615.exe，K119742729312.exe，LHOADER.exe

如果装了专用防火墙，则会弹出如下提示框：

图8

该病毒试图访问连接到222.73.26.9这个目标站点上，可以肯定，这个IP地址一定是远程控制终端。下面就要删除这些该死的东西。

先把icesword打开，然后点进程，如图9：

图9

这些关键系统进程里面肯定存在一点害群之马，那么如何将驻留在系统进程里面的坏东西清除出去呢？右键单击关键进程，再选择弹出的模块信息，就可以看到里面包含的DLL（动态链接库）。

我们按照得到的那个文件列表，在关键系统进程里面操作，如图10：

图10

强制解除就可以了。经过重复的操作，再删除那些文件就可以了，另外有些EXE文件是删除不掉的，遇到这样的文件只要放到桌面上，经过连续的两次重新启动即可删除。

注：上面是针对流行的AUTO病毒的手工清除办法，如果大家系统中没有icesword分析工具，也可以通过其他手段查找相应的进程，这里就不再一一介绍。其实针对AUTO病毒有已经有很多专杀工具，51CTO安全频道专门针对这种U盘病毒推出查杀专题，希望能给各位网友带来帮助。