手工杀 auto.exe 病毒心得

中招经过：

昨天晚上在youku 看视频，评论里有一个回贴说 xxxxx心理啥的测试（具体啥不记得了），很不错，用google一搜就有。
我搜了，记得前两个貌似都是博客，然后我在一篇博客里点了测试网页的链接，看了一会题，觉得没劲，正准备走的时候状况来了。

不知道是其中哪个NND的网页干得，也不知道它是故意的，还是自身就是被种植或感染的。

望广大网友引以为戒，勿再轻易被这些伪装的不错的评论吸引，好奇心害人啊（这种评论往往和主题风马牛不相及，但又让你觉得有那么点意思，可以一试）。

症状：（这种病毒应该有不少变种，故我描述的只是我所遭遇的症状）

浏览器（Maxthon）不断重复打开最后一个页面，关之不及，关闭mathon后硬盘连续工作，狂响（其实应为病毒在展开工作所致）。其实病毒进来太快，就是那时拔网线页来不及了。

1， 所有NTFS盘根目录下产生auto.exe，autorun.inf（指向auto.exe，作用为双击盘符时便发动auto.exe），删除无效，会立即重现。两文件系隐藏属性，同时关闭你系统的 显示隐藏文件 功能， 若中招时你的系统是选择显示隐藏文件的，那么你可以看到这两个文件，重启后病毒发挥作用，隐藏文件不再可见。
2,  奇怪的是我中的这个auto.exe不会在FAT/FAT32 格式的磁盘中产生上述文件，故我FAT格式的U盘中也没有，看起来是一个完全倚靠网络传播的病毒。
3,  系统中装有KAV 卡巴，则系统时间自动回跳2年，卡巴黑掉，很不幸我用的就是卡巴。
4, 360被干掉，并且无法再运行（我想原因是360会拦截它下载木马），这点很让我恼火啊。
5, 中招后再连上网，IE（包括使用IE内核的其它浏览器，如maxthon）会被劫持，据我找到的材料中说，它会不断连接某些网站，造成拥堵。此时你无法在IE地址栏中输入任何信息。经我试验，firefox可正常工作。
6, 连上网后，它开始疯狂下载各种木马，我慌忙拔了网线，开始脱机操作，一夜未果（后来360搜出有13个木马瞬间被下载，包括各种盗号木马）。
7, 有意思的是，我中的这个auto.exe在安全模式下似乎并不会被加载到进程中，故安全模式下删除auto.exe，autorun.inf不会重生，但启动到正常模式，则依旧。
8, 这个病毒会产生随机8字符为名称（由大写英文和数字组成）的系统服务常驻系统，同时system32文件夹下有同样随机8字符为名称的exe和dll文件各1个，三者名字各不相同，这些东西是病毒的根源所在。

消灭方法：
技巧：我把winrar当浏览器用，它可以显示所有的隐藏文件，包括系统文件，可以删除文件，很好用。
建议一直断网操作

1,  下载软件Sreng。以及或许你还需要一款粉碎文件的工具，比如PowerRmv，icesword等用以删除顽固文件，这些附件中有。也许你可以用U盘将这些文件拷到中毒计算机中，如果U盘并不会被感染的话。


2, 启动到安全模式下，以管理员身份进入。

3, 运行srengps.exe，依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”，方便找目标。等待列表出来之后查找那种不规则的随机8位字母（大写）和数字组合的服务，然后选中下面的 “删除服务” 并单击设置按钮，在弹出的框中点“否”。

4, 解锁 不能查看隐藏文件，以删除所有磁盘根目录下的auto.exe，autorun.inf。其实用winrar也可以，但解锁总归是要做的对吧。

把下面的代码拷入记事本中然后另存为.reg文件，然后双击把这个注册表项导入：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

5, 去 windows/system32/目录下找那2个随机8字符名的文件，一个.exe, 一个.dll。（有的变种貌似生成不止2个这样的文件，请自己把握）。
我是手工找的，据闻用江民的特征代码（用改名后的auto.exe作标本，可惜卡巴没要这功能）搜索更快。
小经验：我发现这俩文件名的首字母和先前Sreng搜出来的服务的首字母是一样的，可以加快定位，不过不保证一定是这样的。
同时找类似这样的文件：
k11839413402.exe
k11839413424.DAT
k11839413424.exe
k11839413446.exe
k11839413478.exe
k118394134910.exe

所有文件统统删掉，也可以粉碎解恨 ^_^

6, win + R， 运行， 键入regedit，进注册表。以三个8位随机名搜索全盘，统统删掉。
如果遇到部分项无法删除，可以 右键-->权限， 让所有用户都取得完全控制，然后删之。
注意：如果你在中毒期间换过用户，那么不同用户的  HKEY_CURRENT_USER是不同的，每个都有残留。

再找到这里查看一下，我是在最下面: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache(病毒在这里也有残留)

7, 可以重启一下了，还是进安全模式，保险。
如果已经下载了很多木马，以我的经历来看，启动360，都可以解决（其实我也说不好，只是现在360和KAV已经找不出什么问题了）

8, 记得再到各个temp文件夹清理一下临时文件,再清理一下IE临时文件和cookies文件等。