auto.exe病毒的分析与手动清除方法

破坏方法：
VB写的病毒，一旦运行，病毒将复制自己到如下目录<以win98为例，其它系统也在相应目录>：
C:\AUTORUN.INF
C:\WINDOWS\AUTO.EXE
C:\AUTO.EXE
C:\PROGRAM FILES\AUTO.EXE
C:\WINDOWS\ALL USERS\DESKTOP\SYSBOY.EXE
C:\WINDOWS\ALL USERS\START MENU\PROGRAMS\启动\AUTO.EXE
C:\WINDOWS\DESKTOP\SYSGRIL.EXE
C:\WINDOWS\START MENU\PROGRAMS\启动\AUTO.EXE
修改注册表如下：
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run\Explorer
"C:\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Explorer
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Systry
"C:\Program Files\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systry
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systryt
"D:\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonceex\Systryt
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll32
"％CURDIR％\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll64
"％CURDIR％\SYSBOY.exe"
HKCU\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\SYSTEM\disableregistrytools
0x313131 -->禁止使用注册表工具
HKLM\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\EXPLORER\nofolderoptions
0x313131 -->禁止打开文件夹选项
HKCU\\Software\Microsoft\Windows\CurrentVersion
\Policies\winoldapp\norealmode
0x313131 -->禁止进入实模式
HKCU\\Software\Microsoft\Internet Explorer
\Main\start page
" http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页
HKCU\\Software\Microsoft\Internet Explorer
\Main\first home page
" http://xxxwwwjjjhd.20forfree.com" -->修改IE默认页
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Play\first home page
"用 Winamp 播放(&p)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Play\command\first home page
"C:\WINDOWS\auto.exe"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Enqueue\first home page
"加入 Winamp 队列(&E)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Enqueue\
command\first home page
"C:\auto.exe"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\first home page
"添加到 Winamp 的书签清单中(&B)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\
command\first home page
"D:\auto.exe"

HKCR\\txtfile\shell\open\command\first home page
"％CURDIR％\SYSBOY.exe"
HKCR\\swffile\shell\open\command\first home page
"C:\auto.exe"
HKCR\\mp3file\shell\open\command\first home page
"D:\auto.exe"
HKCR\\dllfile\shell\open\command\first home page
"E:\auto.exe"
HKCR\\htmfile\shell\open\command\first home page
"％CURDIR％\SYSBOY.exe"
病毒也将自动连接网站：
http://***xxxwwwjjjhd.20forfree.com。
这是一种使用网络非法传播来骗钱的病毒，即所谓的“第四传媒”-->以病毒的形式散布网站信息，为自己作广告。
病毒运行后将在系统的右下角显示一个圆形窗口，点击后将弹出矩形窗口，显示广告信息，如发现此病毒，建议使用防火墙禁止135端口。
清除办法：
1、结束病毒相关的进程；
2、根据上面的分析删除所有病毒相关的文件，如果遇到不能删除的文件，则使用冰刃等强制删除软件进行删除；
3、按照上面分析的注册表，一一删除；
4、重新启动计算机，应该就无问题了。