分析：

　　该病毒被种植后，会自动访问一个地址为xxxx.xxxxx.com 的站点，下载随机生成的7位编码.exe文件，这些exe文件都保存在c:documents and settings 下的local setting目录下面的tempporary internet files文件目录里面如图5：

图5

　　这里的update.txt和f2b4657b556.exe就是刚刚生成的木马程序，这个f2b4657b556.exe是随机生成的，经过测试，每次都不一样。病毒为了保全自己还会在system32下面生成大量的dll文件。如图6：

图6

从文件生成日期来看，都是最新生成的文件，而此前未中auto.exe的时候是没有这些DLL文件的，里面还有一个随机生成的.exe文件，生成日期为，12月9日。通过查看系统隐藏文件可以看到这些文件，在所有硬盘分区中都有auto.exe和autoruan.inf。直接删除是肯定不成的。因为在Windows目录里面，还有很多生成文件，比如扩展名为exe和log的文件及文件夹，如图7

图6

由于auto.exe带有进程注射，不能直接删除system32文件夹下新生成的dll和exe文件，可以使用icesword找出有问题的进程。先终止可疑相关进程，再删除文件。