U盤流行病毒的形態(tài)為autorun名稱的隱藏文件，后綴名為inf、exe等十種，通常表現(xiàn)為雙擊無(wú)法打開機(jī)器盤符，只能右擊再點(diǎn)打開；系統(tǒng)變慢。有的沒有感覺到異樣，不大影響使用，但硬盤根目錄下仍然有各種名為autorun的隱藏文件，所以很多人以為那是正常的系統(tǒng)文件而沒有清除它。目前筆者碰到的很多機(jī)子上都發(fā)現(xiàn)了此病毒。

　　請(qǐng)大家立刻檢查自己的電腦，檢查最方便的方法是：打開winrar軟件，瀏覽硬盤C、D、E等根目錄即可，如果發(fā)現(xiàn)有名為autorun的各種文件，就應(yīng)該立即采取措施了。

清除方法：

1、autorun.exe病毒??！

　　許多人都遇到過u盤打不開的問題，雙擊后提示拒絕訪問，右鍵單擊菜單的前幾項(xiàng)是英文，這是u盤中的癥狀，許多人不明白這是病毒，對(duì)此置之不理，認(rèn)為就是麻煩一點(diǎn)，用u盤時(shí)還要點(diǎn)右鍵。這就是autorun病毒，有的也叫rose 病毒。此病毒作用機(jī)理是在各個(gè)盤的回收站中復(fù)制autorun.exe病毒體，同時(shí)創(chuàng)建autorun.inf自運(yùn)行文件（均為系統(tǒng)隱藏文件，需要在文件夾選項(xiàng)中做相應(yīng)設(shè)置才可以見）。autorun.inf的作用是當(dāng)你雙擊盤符時(shí)自動(dòng)運(yùn)行只定程序。此次病毒autorun.inf：

[autorun]
Shellexecute=RECYCLER\autorun.exe

就是指定autorun.exe這個(gè)病毒程序的運(yùn)行。
中毒之后癥狀：
1、在系統(tǒng)中占用大量cpu資源。
2、在每個(gè)分區(qū)下建立autorun.exe、autorun.inf2個(gè)文件，雙擊該盤符時(shí)顯示自動(dòng)運(yùn)行，但無(wú)法打開該分區(qū)。
3、大部分通過U盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備傳播。
4、可能會(huì)引起部分操作系統(tǒng)崩潰，表現(xiàn)在開機(jī)自檢后直接并反復(fù)重啟，無(wú)法進(jìn)入系統(tǒng)。
5、當(dāng)插入u盤時(shí)自動(dòng)播放對(duì)話框中的第一選項(xiàng)就不再是播放而是運(yùn)行這個(gè)盤中的程序
6、刪除盤中的word文檔等

 

2、U盤病毒和Autorun.inf文件分析

　　autorun.inf這個(gè)文件是很早就存在的，在WinXP以前的其他windows系統(tǒng)（如Win98，2000等），需要讓光盤、U盤插入到機(jī)器自動(dòng)運(yùn)行的話，就要靠autorun.inf。這個(gè)文件是保存在驅(qū)動(dòng)器的根目錄下的（是一個(gè)隱藏的系統(tǒng)文件），它保存著一些簡(jiǎn)單的命令，告訴系統(tǒng)這個(gè)新插入的光盤或硬件應(yīng)該自動(dòng)啟動(dòng)什么程序，也可以告訴系統(tǒng)讓系統(tǒng)將它的盤符圖標(biāo)改成某個(gè)路徑下的icon。所以，這本身是一個(gè)常規(guī)且合理的文件和技術(shù)。

　　病毒作者可以利用autorun.inf的自動(dòng)功能，讓移動(dòng)設(shè)備在用戶系統(tǒng)完全不知情的情況下，“自動(dòng)”執(zhí)行任何命令或應(yīng)用程序。因此，通過這個(gè)autorun.inf文件，可以放置正常的啟動(dòng)程序，如我們經(jīng)常使用的各種教學(xué)光盤，一插入電腦就自動(dòng)安裝或自動(dòng)演示；也可以通過此種方式，放置任何可能的惡意內(nèi)容。

目前相關(guān)的U盤病毒的隱藏方式：

　　有了啟動(dòng)方法，病毒作者肯定需要將病毒主體放進(jìn)光盤或者U盤里才能讓其運(yùn)行的，但是堂而皇之的放在U盤里肯定會(huì)被用戶發(fā)現(xiàn)而刪除（即使不知道其是病毒，不是自己的不知名文件也會(huì)刪除吧），所以，病毒肯定會(huì)隱藏起來(lái)存放在一般情況下看不到的地方了。一種是假回收站方式：病毒通常在U盤中建立一個(gè)“RECYCLER”的文件夾，然后把病毒藏在里面很深的目錄中，一般人以為這就是回收站了，而事實(shí)上，回收站的名稱是“Recycled”，而且兩者的圖標(biāo)是不同的：

　　另一種是假冒殺毒軟件方式：病毒在U盤中放置一個(gè)程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實(shí)是病毒。

　　也許有人會(huì)問，為什么在你的機(jī)器上能看到上面的文件，我的機(jī)器看不到呢？很簡(jiǎn)單，通常的系統(tǒng)安裝，默認(rèn)是會(huì)隱藏一些文件夾和文件的，病毒就會(huì)將自己改造成系統(tǒng)文件夾、隱藏文件等等，一般情況下當(dāng)然就看不到了。要讓自己能看到隱藏的文件，怎么辦？個(gè)人如操作，按如下步驟：打開“我的電腦”，在菜單欄上點(diǎn)“工具”，點(diǎn)“文件夾選項(xiàng)”，出現(xiàn)一個(gè)對(duì)話框，選擇“查看”標(biāo)簽，然后對(duì)照下圖：

　　如果U盤帶有上述病毒，還會(huì)一個(gè)現(xiàn)象，當(dāng)你點(diǎn)擊U盤時(shí)，會(huì)多了一些東西--右鍵菜單多了“自動(dòng)播放”、“Open”、“Browser”等項(xiàng)目。這里注明一下：凡是帶Autorun.inf的移動(dòng)媒體，包括光盤，右鍵都會(huì)出現(xiàn)“自動(dòng)播放”的菜單，這是正常的功能。

綜上所述：

　　目前的U盤病毒都是通過Autorun.inf來(lái)進(jìn)入的；
　　Autorun.inf本身是正常的文件，但可被利用作其他惡意的操作；
　　不同的人可通過Autorun.inf放置不同的病毒，因此無(wú)法簡(jiǎn)單說是什么病毒，可以是一切病毒、木馬、黑客程序等；
　　一般情況下，U盤不應(yīng)該有Autorun.inf文件；*
　　如果發(fā)現(xiàn)U盤有Autorun.inf，且不是你自己創(chuàng)建生成的，請(qǐng)刪除它，并且盡快查毒；
　　如果有貌似回收站、瑞星文件等文件，而你又能通過對(duì)比硬盤上的回收站名稱、正版的瑞星名稱，同時(shí)確認(rèn)該內(nèi)容不是你創(chuàng)建生成的，請(qǐng)刪除它；
　　同時(shí)，一般建議插入U(xiǎn)盤時(shí)，不要雙擊U盤，另外有一個(gè)更好的技巧：插入U(xiǎn)盤前，按住Shift鍵，然后插入U(xiǎn)盤，建議按鍵的時(shí)間長(zhǎng)一點(diǎn)。插入后，用右鍵點(diǎn)擊U盤，選擇“資源管理器”來(lái)打開U盤。注：部分U盤制造商可能也會(huì)利用Autorun.inf進(jìn)行自己的特色設(shè)計(jì)，目的是為了讓用戶執(zhí)行廠商的特色程序。已確認(rèn)部分廠商確實(shí)使用了這種方式，因此建議購(gòu)買U盤是先做識(shí)別，或咨詢銷售人員。

3、書寫清除病毒的批處理文件來(lái)快速清除病毒

　　將下段綠色代碼另存為bat文件，雙擊即可清除常見U盤病毒：

清除U盤病毒

@echo on taskkill /im explorer.exe /f taskkill /im wscript.exe start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg import kill.reg del c:\autorun.* /f /q /as del %SYSTEMROOT%\system32\autorun.* /f /q /as del d:\autorun.* /f /q /as del e:\autorun.* /f /q /as del f:\autorun.* /f /q /as del g:\autorun.* /f /q /as del h:\autorun.* /f /q /as del i:\autorun.* /f /q /as del j:\autorun.* /f /q /as del k:\autorun.* /f /q /as del i:\autorun.* /f /q /as del l:\autorun.* /f /q /as del m:\autorun.* /f /q /as del n:\autorun.* /f /q /as del o:\autorun.* /f /q /as del p:\autorun.* /f /q /as del q:\autorun.* /f /q /as del r:\autorun.* /f /q /as del s:\autorun.* /f /q /as del t:\autorun.* /f /q /as del u:\autorun.* /f /q /as del v:\autorun.* /f /q /as del w:\autorun.* /f /q /as del x:\autorun.* /f /q /as del y:\autorun.* /f /q /as del z:\autorun.* /f /q /as start explorer.exe