病毒全名　Win32.Troj.AutoRun.te.v
中文名称　AUTO特务89280
病毒类型　木马下载器

病毒简介
这是一个AUTO病毒。病毒成功运行后，会在各盘中生成具有隐藏属性的AUTO病毒，注册表被病毒修改后，具有隐藏属性的文件无法查看。众多启动项被病毒删除，包括杀软、系统的启动项，这样会导致机器重启后，杀软失效，使用户机器安全性大大降低。而且该病毒还有破坏安全模式、下载病毒的功能。
标志：AUTO病毒、隐藏文件、破坏安全模式、ARP欺骗。

病毒行为
1.病毒运行后，生成以下病毒文件（因为有变种，所以也可能不完全一样）
%temp%\RarSFX0     （开始－运行－输入%temp%可打开该文件夹）

%windows%\system32\Com\LSASS.EXE
%windows%\system32\Com\netcfg.000
%windows%\system32\Com\netcfg.dll
%windows%\system32\Com\SMSS.EXE
%windows%\system32\Com\KKKK.EXE
%windows%\system32\Com\****.EXE
%Local Settings%\Temporary Internet Files\Content.IE5\EC5UKR17\r[1].htm
%Local Settings%\Temporary Internet Files\Content.IE5\GR8I0NOH\CAYNKA2Y.HTM

2.在各盘中生成AUTO病毒，包括病毒文件pagefile.pif和autorun.inf辅助文件，都具有隐藏属性。
3.病毒会修改注册表，使系统的隐藏功能失效，用户无法操控，只要具有隐藏属性的文件将无法显示。
4.查看启动项，会发现启动项中许多系统启动项都被自动删除，包括杀软的启动项。
5.由于启动项被删除，再使用反间谍的隐蔽软件扫描，也就可以看到有两个隐蔽软件，分别是：“异常的autorun.inf”和“Broken SafeBoot”，“Broken SafeBoot”很明显是破坏安全模式的，这样会使用户中了该病毒以后无法进入安全模式。 不过并不是所以的病毒都会生成“Broken SafeBoot”，可能名字有所不同！
6.该病毒还会引发ARP欺骗，导致在同一局域望网内的机器都有被欺骗的可能，明显的症状是：网络时常断开，会病毒下载到总ARP的机器。
7.该病毒还会感染所有的杀毒软件，包括杀毒软件安装包。感染遨游浏览器，但不会感染IE！感染绝大多数进程管理软件和大部分电脑测试软件！主要是它还会感染刻录软件！QQ更不在话下！
8.判断文件是否感染的最主要的标准是：一般来说，文件的图标会发花，一眼就能看出更正常的图标不一样。但是有的图标就看不出来！比如：CD测试软件“CDSpeed”，跟正常的差不多。

解决方案：
1.金山（瑞星的也行）清理专家的恶意软件查杀功能，可以同时修复被破坏的安全模式，注意：下载最新金山清理专家绿色版本，解压后看看金山清理专家是否被感染（判断标准同上）。
2.重启电脑，有时候，电脑在进入以后先显示不了桌面，这时候千万要等待电脑自己进入，那是在清理。再运行金山清理专家的恶意软件查杀功能，如果显示有恶意软件再次重起。如无，使用安全百宝箱：垃圾清理。全部清除。%windows%\system32\Com\
3.使用金山清理专家的安全百宝箱功能：文件粉碎器。彻底删除%windows%\system32\Com\下的非正常文件！

预防措施：
1.AUTO类病毒，都是利用移动存储介质的自动播放功能传播的。强烈建议禁用自动播放功能。
2.修补操作系统漏洞、IE漏洞、常用播放器的漏洞，防止病毒通过系统漏洞入侵。
3.及时升级杀毒软件。（但杀毒软件清理不干净啊！）
4.金山清理专家最好打包压缩！一般病毒不会感染压缩包里的杀毒软件！这样安全比较安全！！

PS：被感染的QQ，遨游，修复安装一下就会好了。