auto.exe病毒导致毒霸文件实时防毒变蓝的处理方法

无事无非

才学疏浅，写的比较简单，分析的也不一定都正确，不值得高手一晒，希望指正，但应该比较适合于操作。
5 y- k4 U5 V- }# n& k( a所用工具：金山清理专家2.1，SREng工具
) C$ i8 Z/ P$ b4 o& J
! b- \& v' E: q$ V3 R: }% l病毒分析：auto.exe病毒运行后，会在%windows%\system32\目录下释放出随机8位的EXE病毒文件以及随机7位的DLL文件，并释放批处理删除自身%windows%\system32\del.bat。同时，它还在各磁盘分区释放auto.exe（即为病毒宿主文件）和autorun.inf病毒辅助文件。只要用户双击打开磁盘，病毒就再次被激活，此后，当用户使用U盘等移动存储器时，病毒便会将其传染。
病毒运行成功后，会将更改系统日期，使部分依赖系统时间的杀软失效，大大降低用户系统的安全性；修改注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL    CheckedValue    dword:00000001    dword:00000000

以达到隐藏文件属性目的；
+ ~3 h2 P: j' V3 ]* M: s添加注册表键值到

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

使病毒以服务方式加载，并将dll注入到系统进程当中，连接远程服务器，下载大量其它病毒和木马。用户如果查看启动项，可发现新增了不少陌生的启动项。而通过任务管理器，也可发现很多异常进程。

图1－异常进程

（见图1）
7 d1 V' @- u& W# i- A 需要注意的是，在病毒下载的“帮凶”中，相当部分具有盗号功能，盗取的都是现今比较主流的大型网络游戏和即时通讯软件，如《传奇》、《大话西游2》、《梦幻西游》、《彩虹岛》、《QQ》、《QQ游戏》等。
) C* T) f+ Z" ]
  z1 O* Q- \! p! }$ g& g处理方法：
由于该病毒具有木马下载器的功能，所以系统会运行很慢，

图2－下载的木马病毒

（见图2）另外，鉴于该病毒采取服务方式加载，请进入安全模式清理操作（方法为：开机之后反复点击F8键）
隆重推荐金山清理专家的粉碎器功能，选择添加文件后浏览到system32目录下，使用查看－详细信息将文件按照时间排序（见图3）

图3－查看文件详细信息

这样就可以定位到这些病毒文件上，

图4－定位病毒文件

（见图4），粉碎器是可以支持批量添加的，按住ctrl键并选中这些病毒文件，就可以将其删除（见图5）
6 V+ j! P9 B& j  d

图5-删除病毒文件

之后再清理这些恶意软件，重启回到正常系统，基本上就大功告成了。
& {# b9 V/ Z1 Q0 W6 z- j" q最后做一下扫尾工作：
1，修复显示隐藏文件，用sreng，见截图6；
; Z- G4 X5 R0 \9 ~) ^8 h

$ V' a' @# Y1 z; o& V8 P
, g. Q" a$ ~7 T2，用清理专家关闭自动播放

papa

最近一个木马集中爆发，特征是在各个盘符下留下auto.exe和autorun.inf文件、毒霸实时监控变蓝手动启动也无法恢复。
该病毒在系统目录留下木马下载器并下载大量木马，写入执行挂钩和BHO等。
+ L8 n  Y7 B( e$ c$ a
关于这个木马的处理，建议用户在http://buy.duba.net/download/index.shtml#kas
下载金山系统清理专家并升级至最新后，开机点击F8进入安全模式后运行清理专家中的恶意软件扫描。会扫描出类似信息,如图所示：


处理完成后解压运行附件中的批处理文件Fix_BlueDB.bat即可清理此病毒常用的随机加载位置以及修复无法显示隐藏文件的问题。

. V5 X7 E6 R+ P' ~重启计算机后升级毒霸到最新病毒库后安全模式全面杀毒即可。
( m" d0 ?  e/ ?* u5 D(由于此病毒频繁变种，如果无法处理烦请提交样本文件到可疑文件上传区以便毒霸升级处理。)

" k  P3 c6 m$ c; G1 t[ 本帖最后由 papa 于 2007-11-28 11:25 编辑 ]

3531125

解压运行附件中的批处理文件Fix_BlueDB.bat            本人笨蛋说下怎么弄最好有图本人才17{8E}                    

rainset

下载附件到桌面.

3531125

怎么<解压运行附件中的批处理文件Fix_BlueDB.bat>说下最好有图{8E}

MRBEAN

双击后（就是解压）会到一个齿轮的图标，再双击就成了

2000xupeng

我的另一台未上网的电脑通过U盘传染上病毒，应该怎么办，由于条件限制，那台电脑无法连接网线，可以用360删除插件，再用附件中的扫尾软件进行工作么？
有什么手动操作？那台电脑上的毒霸仅升级到2007年6月…………

[ 本帖最后由 2000xupeng 于 2007-11-29 02:53 编辑 ]

AntiVirus

如果中了此病毒....系统清理专家处理不了..可以通过短消息联系一下我...

  谢谢..{123_082}

小锋

vb 好呀

小锋

楼上的，我的图标也兰色的，系统总提醒"文件环境不完整,请升级或重新安装，通过不断的修复下，终于好了。
, w8 L4 `+ U8 p0 ^9 Z
[ 本帖最后由 小锋 于 2007-12-1 01:06 编辑 ]

bird

伤害的总是我,木马的海洋{7E(2)} 杀不了就是杀不了,无言

08717599668

{3F} {3F} {3F} 不行啊,我的怎么连安全模式都进不去了啊,出现一大片m开头的加载就黑屏了!怎么办啊急~!!!!{69}

sweetcandy_321

我的Ｄ盘里有那个autorun.inf文件夹，文件夹里是空的，但是怎么删除都删除不掉那个文件夹．．．．．．．．．．怎么　回事啊？／／帮我！

huruochen203

学习一下

1994

{78} {78} 我来顶一下

13537414320

{5E(1)} {5E(1)} {5E(1)} 我看不懂啊！！！我家的也变绿了还有隐藏文件显示不了真着急

因太菜被判无期

这东西可以手工删
. d9 x7 m9 \- T; }5 k
0 b$ i5 `1 o1 ~/ w9 W& `注册表先删服务项
6 M( o( ]- I% z, Z
Gpedit限制auto.exe

重启后删硬盘文件，再不行进安全模式

liping

最后一步看不懂

wgf660500

让我们学到很多知识,可以,

wgf660500

让我们学到很多知识,可以,