客人拿来的U盘，打开后发现不对劲，

发现AUTORUN。INF
发现有同名的文件夹，查看扩展名后发现为与文件夹同名的。EXE文件，图标也为文件夹。
并且进程中突然加载了多个calc.exe,还有IEXPLORER.exe
瑞星主动防御不断的提示C:\WINDOWS\SYSTEM32\XP-1F1E745A.EXE要修改注册表。
其中XP-（1F1E745A）.EXE 括号内的为随机八位数。监控到的记录有几条
C:\WINDOWS\SYSTEM32\XP-75BEB75A.EXE
C:\WINDOWS\SYSTEM32\XP-B4927B0C.EXE
C:\WINDOWS\SYSTEM32\XP-49C153CD.EXE
.
.
.
同时还有

修改内核内存数据
2008-07-24 16:23:02
C:\WINDOWS\SYSTEM32\CALC.EXE       
                                                                                                                                                                                                                          \Device\PhysicalMemory                         

但是这几个文件用最新病毒库的瑞星还扫描不出有问题，        所以发上来，让大家看看~~~~                                                                                                                                             

解压密码  aopen

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)