录下，再修改注册表中的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi
dowsCurre
tVersio
ExplorerAdva
cedFolderHidde
SHOWALLcheckedvalue键值，将原来的dword值修改为字符串值，来达到隐藏自己的目的。同时病毒进程会不断扫描磁盘分区根目录下是否有病毒源文件，如果在未关闭病毒进程的情况下将根目录中的病毒文件删除，病毒进程则会重建这些文件……下面是手动查杀：病毒样本为systimeexe，实际手动杀毒操作如下：通过进程管理器就可以发现如下图
f因为正常的系统进程中有systemexe用户名为system，而我们看到systimeexe的用户名为当前用户名（也就是上图中的Ley），很明显它是想伪装成systemexe来混水摸鱼……
查杀病毒我们要做的第一个尝试就是尝试关闭病毒进程，但也并非所有病毒都能从任务管理器中看到其进程，也并不是所有能看到进程病毒都可以简简单单结束掉的……而这例病毒比较简单，它没有双进程保护，没有线程注入，也没有注册服务，所以我们可以直接结束其进程，进程结束后，病毒也就失去了自我保护的能力，那么接下来要做的事就非常简单了，在运行中输入msco
fig，查找病毒的启动项，找到后将前面的勾去掉，如图
然后要删除病毒源文件，但是病毒是隐藏属性，而上文中也说了，中了autoru
病毒后是无法显示隐藏文件的，那么我们先修复注册表checkedvalue键值，如图，将原来的字符串值删除，再右键新建一个Dword值，键值为00000001。
修改好注册表后，在文件夹选项中显示所有文件，并且将“隐藏受保护的系统文件”前的勾去掉，然后找到system32中的systimeexe删除即可
最后再将各磁盘分区根目录下的systimeexe和autoru
i
f逐个删除重点：整个杀毒过程中，结束了病毒进程后切忌双击进入分区，必须使用资源管理器或是其他资源管理工具！对于病毒在各磁盘分区内的残留，一种方法我们可以修复了注册表的checkedvalue键值后，从文件夹选项中将“隐藏受保护的系统文件”前的勾去掉，并选中“显示所有文件”，然后删除各分区中的病毒残留，autoru
i
f和exe（注意：清除残留时千万不可双击进入）另一种方法，我们也可以运行cmd，利用attribshaXautoru
i
f（在cmd里打attrib可获取帮助，X为磁盘分区名）来autoru
i
f，然后双击打开autoru
i
f查看其相应的exe文件，并用attribshXexe让它显形，然后将其删除……防止autoru
病毒：以前很多靠右键菜单中的“打开”来打开U盘，来避免双击U盘运行病毒，但是随着autoru
病毒的不断演变，这种方法不再可靠……看一个典型的autoru
i
f中的r