这个很多人分析过的，本站整理了一下，方便大家查杀！

newcenturymoon的分析

auto.exe及其下载的木马群的处理

孤独更可靠的Auto.exe病毒分析

阿虎的分析

简析auto.exe+8位随机 病毒

查杀方法:http://www.newjian.net/auto_bingduzhuansha/200710091239.html

mopery的分析

Backdoor.Win32.Agent.ckn 下载者 auto.exe 解决方案

下面我们介绍阿达和清新阳光的分析！

阿达的具体分析：

1.病毒源文件:auto.exe (及autorun.inf)

SHA-160        : 79462300E3B85583FC87CBB56936719B6CC0616E
MD5               : C8C1710C47B42258023F620D0C047F36
RIPEMD-160     : 12F704DDE477151503ED35290AF1DA05C53E3593
HAVAL-3-128 : ECD9D1037E743CBCD2796996A25F14FF
CRC-32             : 0F6AC47C

2.病毒类型: 木马程序 Backdoor.Win32.Agent.ahj (卡巴斯基)

3.分析工具: SSM (附部分日志)

进程：
       路径： C:\Documents and Settings\Administrator\桌面\auto.exe
       PID: 1060
       信息：      (Microsoft Corporation)
注册表群组： Services
对象：
       注册表键： HKLM\SYSTEM\CurrentControlSet\Services\5A36FBC1
       注册表值： Description
          类型: REG_SZ
          值： 6394B135

------------------------------------------------------------------------------------------------------

父级进程：
       路径： C:\WINDOWS\system32\services.exe
       PID: 644
       信息： Services and Controller app (Microsoft Corporation)
子级进程：
       路径： C:\WINDOWS\system32\8D159B5D.EXE
       信息：      (Microsoft Corporation)
       命令行：C:\windows\system32\8D159B5D.EXE -k
------------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\8D159B5D.EXE
       PID: 4048
       信息：      (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\winlogon.exe
       信息： Windows NT Logon Application (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。
------------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
注册表群组： Services
对象：
       注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ERSvc\Parameters
-----------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
注册表群组： Services
对象：
       注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ERSvc\Security
-------------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
注册表群组： Services
对象：
       注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ERSvc\Enum
----------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
注册表群组： Services
对象：
       注册表键： HKLM\SYSTEM\CurrentControlSet\Services\ERSvc
----------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\smss.exe
       信息： Windows NT Session Manager (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。
------------------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\csrss.exe
       信息： Client Server Runtime Process (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。
-------------------------------------------------------------------------------------------------------
进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\services.exe
       信息： Services and Controller app (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。
-----------------------------------------------------------------------------------------------
进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\lsass.exe
       信息： LSA Shell (Export Version) (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。

----------------------------------------------------------------------------------------------

进程：
       路径： C:\WINDOWS\system32\winlogon.exe
       PID: 600
       信息： Windows NT Logon Application (Microsoft Corporation)
对象：
       路径： C:\WINDOWS\system32\svchost.exe
       信息： Generic Host Process for Win32 Services (Microsoft Corporation)
此项允许程序执行其代码于另一程序上（DLL注入）。

-------------------------------------------------------------------------------------------------

4.病毒行为:

4.1 注册表

添加服务: 5A36FBC1 (随机8位字母和数字组合)
文件:            %systemroot%\system32\8d159b5d.exe (随机8位字母和数字组合)

4.2 病毒相关文件

%systemroot%\system32\6394B135.DLL      (随机8位字母和数字组合)
DLL注入系统和用户所有进程.
%systemroot%\system32\8d159b5d.exe      (随机8位字母和数字组合) (作为服务调用)
x:\auto.exe
x:\autorun.inf

附录:
c8c1710c47b42258023f620d0c047f36      8d159b5d.exe
c8c1710c47b42258023f620d0c047f36      auto.exe

4.3 下载木马:(资料不全)

5.病毒清除方法:

首先要断开Internet网络

1.使用 SREng / autoruns删除病毒添加的服务,手动删除服务所指向的随机8位字母和数字组合病毒文件

2.删除各分区下auto.exe和autorun.inf

3.使用xdelbox或者Wsyscheck DOS级别删除病毒DLL文件

(或者删除病毒添加的服务后进安全模式删除)      killbox未测试

清除下载的木马:(推荐使用工具)

下载windows清理助手清理恶意软件
http://www.arswp.com

下载临时文件清理工具
http://hzqedison.mm9mm.com/hanhua/ATF-Cleaner-cn.exe

清新阳光7月的分析