AUTO.EXE病毒查杀记 (转载)

似家的驿站

昨天晚上，因为上网答题的缘故，访问了一些我平常根本不会访问的驾照测试站点。当我的Firefox拒绝访问的时候，我做了一件非常愚蠢的事情：启用IE访问。几乎是同时，我的卡巴斯基开始报警，而且一直没有间断。随后，卡巴斯基报告系统时钟错误，无法正常运行。我去检查了一下：

1、系统时钟被改为2005年。手工改回，但是随着卡巴斯基回复正常报警，系统时钟再次被更改。

2、在所有硬盘分区根目录下都出现了两个文件：Auto.exe和Autorun.inf

3、卡巴斯基报告，存在两个木马文件，位置和名称分别为：
C:\WINDOWS\System32\LotusHlp.dll
C:\WINDOWS\System32\Ptsshell.dll
卡巴斯基无法删除，要求重新启动系统后删除。

4、关机重启，屏幕右下角有黄色信息框提示，是否要中断和本机相连接的6个连接。汗如庐山瀑布。。。

5、重启机器后，卡巴斯基无法删除病毒，并发现了上面4个文件关联的木马病毒：
Trojan-PSW.Win32.OnLineGames.lek
Trojan-PSW.Win32.OnLineGames.lch
Trojan-PSW.Win32.OnLineGames.isb
Virus.Win32.AutoRun.mg

我上网查资料，发现Auto.exe和Autorun.inf又被称为“U盘病毒”。今年4月份已经爆发过，但是12月16、17、18日又有很多人报告发现了这种病毒。而且之前金山和瑞星以及其他国产专杀软件都失去了效果，怎么都杀不干净。我每五分钟下载查杀一个专用工具，半个小时之后没有一个奏效。最后，是在卡巴斯基的论坛和其它网络论坛发现了办法，简单总结如下：

1、先下载安装Unlocker1.8.5，这是一个强制删除文件的软件。由于这些病毒文件拒绝被移动或者删除，所以必须用工具粉碎。
2、清空IE的历史记录、缓存、COOKIE。
3、下载U盘病毒专杀工具usbcleaner，国产软件，是所有专杀工具中最狠的一款。（最近更新时12月17日）
4、运行usbcleaner，使用其中的广谱扫描找到各分区下的病毒文件，它会提示你重启动之后会自动删除。不要重启动，而且要指定usbcleaner保护你的系统时钟。
5、在C:\WINDOWS\System32\ 目录下，删除：
LotusHlp.dll和Ptsshell.dll，如果它们不配合，这时候就用Unlocker1.8.5直接粉碎。值得注意的是，我还在这个目录下发现了两个很长数字串为文件名的EXE文件，它们也要删掉。不过，简单点的办法是排列图标，按照时间显示。把System32目录下中标以后产生的文件全部删除。
6、进入注册表编辑器，在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里，把启动时增加的莫名其妙的东西去掉，比如Nwiz.exe这样的东西，全部删除。LotusHlp.dll和Ptsshell.dll也肯定有键值，全部干掉。
7、重新启动电脑，按F8进入安全模式，先usbcleaner，后卡巴斯基。杀完一遍如果没有病毒了，再正常启动，在常态模式下再用卡巴斯基杀一遍。

我这样折腾到四点，可算是好了。


(转载)