在2011年2月8日发布的安全公告KB967940中，微软对Windows自动运行功能进行了最新升级，限定Windows XP、Windows Server 2003、Vista（Vista是到Win7的一个过渡系统）和Windows Server 2008平台上的自动运行功能仅支持CD和DVD媒体。当用户使用包含autorun.inf档案的USB设备、网路共享或其它非CD/DVD媒体时，系统不会执行自动运行。

安装此次更新后，当插入USB设备时，用户不会收到程式安装的提示对话框，用户需要手动打开资料夹找到安装档案，然后双击安装软体。不过，在连线至计算机时，有些USB的固件会让系统将其识别为CD，那幺本次针对AutoRun的升级就对它们无效了。

档案组成1141424541441425241878/*-/8888￥%@￥……56去……%……￥#7686*￥%……

autorun.inf档案是从Windows 95开始的，最初用在其安装盘里，实现自动安装，以后的各版本都保留了该档案并且部分内容也可用于其他存储设备。

其结构有三个部分：[AutoRun] [AutoRun.Alpha] [DeviceInstall]

[AutoRun]适用于Windows95以上系统与32位以上CD-ROM，必选。

[AutoRun.alpha]适用于基于RISC的计算机光碟机，适用系统为Windows NT 4.0，可选。

[DeviceInstall]适用于Windows XP以上系统，可选。

超级巡警会把此档案当成木马。

含义：指定应用程式的默认图示。

DefaultIcon=图示路径名[，序号]

参数：

图示档案名称：应用程式的默认图示路径名，格式可以为.ico、.bmp、.exe、.dll。当档案格式为.exe和.dll时，有时需要使用序号来指定图示。

序号：当档案格式为.exe和.dll时 ，档案可能包括多余一个图示，此时需要使用序号来指定图示，需要注意的是，序号是从0开始的。

备注：

应用程式的默认图示将在windows

explorer核心的驱动显示视窗中 替代设备的默认图示来显示。

图示路径名的默认目录是设备根目录

。

含义：指定设备显示图示。

格式：

Icon=图示路径名[，序号]

参数：

图示档案名称：应用程式的默认图示路径名 ，格式可以为.ico、.bmp、.exe、.dll。当档案格式为.exe和.dll时，有时需要使用序号来指定图示。

序号：当档案格式为.exe和.dll时，档案可能包括多余一个图示，此时需要使用序号来指定图示，需要注意的是，序号是从0开始的。

备注：

设备显示图示将在windows

explorer核心的驱动显示视窗中替代设备的默认图示来显示。

图示路径名的默认目录是设备根目录

。

当存在应用程式默认图示（DefaultIcon）时，本命令无效。

含义：指定设备描述

格式：

Label=描述

参数：

描述：任意文字，可以包括空格。

备注：

设备描述将在windows explorer核心的驱动显示视窗中替代设备的默认描述卷标来显示。

在非windows explorer核心的驱动显示视窗中（例如右击设备选择属性）显示的仍然是设备的卷标。

含义：指定设备启用时运行之命令行。

格式：

Open=命令行

（命令行：程式路径名 [参数])

参数：

命令行：自动运行的命令行，必须是.exe、.com、.bat 档案，其他格式档案可以使用start.exe打开或使用ShellExecute命令。

备注：

命令行的起始目录是设备根目录和系统的$Path环境变数。

含义：

指定设备启用时执行档案。（作业系统支持未知）

格式：

ShellExecute=执行档案路径名 [参数]

参数：

执行档案路径名：设备启用时执行档案路径名。可以是任意格式档案。系统会调用设定的程式执行此档案。

参数：参数，根据执行档案作调整

备注：

命令行的起始目录是设备根目录和系统的$Path环境变数。

含义：

定义设备右键选单执行命令行。

格式：

Shell\关键字\Command=命令行

（命令行：程式路径名 [参数])

参数：

命令行：自动运行的命令行，必须是.exe、.com、.bat档案，其他格式档案可以使用start.exe打开。

备注：

命令行的起始目录是设备根目录和系统的$Path环境变数。

含义：定义设备右键选单文本。

格式：

Shell\关键字=文本

参数：

关键字：用以标记选单，可以使用任何字元表示，包括空格。

文本：在右键选单中显示的文本。可以使用任何字元，不能存在空格。

备注：

在同一Autorun.inf档案中，不同右键选单关键字不同，相同右键选单关键字相同。

右键选单文本中可以使用&；设定加速键，&&；输出一个&。

Shell关键字Command命令Shell关键字两者缺一不可，顺序无所谓。

当不存在Open、ShellExecute与Shell命令时，设备启用时运行第一个设备右键选单指定命令。

含义：定义设备启用时运行之设备右键命令。

格式：

Shell=关键字

参数：

关键字：标记过的选单关键字

备注：

Shell指定的关键字可以在AutoRun.inf档案的任意部分。

Open、ShellExecute、Shell命令后定义的优先权高。

这个命令用来定义程式的名字，比方说：

[autorun]

shellexecute=rundll32 ght

action=打开资料夹

那幺在右键选单显示的就是"打开资料夹",而执行的命令就是"rundll32 ght"

与其他inf档案一样，";"之后的内容会被当做注释，不参与编译.

这个病毒有着非常明显的外部特徵，但是却又常常容易被忽略。之所以容易忽略，是因为它并不会令电脑变慢，所以很多人就不注意到。但是如果我们在双击打开随身碟时，不是在当前视窗打开，而是在新视窗中打开，那幺则有可能中毒了。这时可以在“我的电脑”中右击盘符，看其最上方的一项命令是什幺，如果为“Auto”，而不是正常的“打开”，那幺中毒的可能性则进一步增大；但要确认中毒，还需要我们在地址栏中输入E:\autorun.inf（E盘需换成实际的盘符），如果打开的档案中open行后所跟的档案是sxs.xls.exe这样的档案，那幺则肯定中毒了。

或者在你的随身碟中建个空的资料夹，命名为autorun.inf。如果你的随身碟无法完成重命名，这说明你的随身碟已中毒，这时，那幺建议你先备份重要档案，再格式化。原理是：大多数病毒是先建立autorun.inf再键入内容，病毒在进入C糟时就是通过这个资料夹里内部档案来为媒介的。

1、在插入随身碟时按住键盘 Shift 键直到系统提示“设备可以使用”，然后打开随身碟时不要双击打开，也不要用右键选单的打开选项打开，而要使用资源管理器（打开我的电脑，按下上面的“资料夹”按钮，或者开始-所有程式-附属档案-windows资源管理器）将其打开，或者使用快捷键Windows+E打开资源管理器后，一定通过左侧栏的树形目录打开可移动设备！（要养成这样的良好习惯）

2、如果盘内有来路不明的档案，尤其是档案名称比较诱惑人的档案，必须多加小心；需要特别提示的是，不要看到图示是资料夹就理所当然是资料夹，不要看到图示是记事本就理所当然是记事本，伪装图示是病毒惯用伎俩。

3、要有显示档案扩展名的习惯。方法：打开“我的电脑”，工具--资料夹选项--查看，去掉“隐藏已知档案类型的扩展名”的勾，建议选择显示扩展名同时选上“显示隐藏档案”，去掉“不显示系统档案”的勾，这样可以对病毒看得更清楚。有图示的诱人的病毒档案基本都是执行档，显示档案扩展名之后，通过档案名称后的".exe"即可判断出一个档案执行档，从而不会把伪装的病毒执行档误认为是正常档案或资料夹。

4、最后不管你用什幺办法，或者用什幺软体，插入随身碟然后用这个方法检验你有没有中Autorun.inf型病毒的风险。

下面这个批处理可以检验你插入或打开随身碟时是否有激活病毒的风险。运行这个批处理，然后按提示操作。注，批处理使用方法：打开开始选单-附属档案-记事本，複製批处理内容进去，档案-另外储存为-档案名称：xxxxxxx.bat，保存类型：所有档案-保存。然后找到你保存的位置，会出现一个批处理档案，双击运行即可。@echo off&setlocal enabledelayedexpansion

echo 请在随身碟和电脑没有病毒的情况下插入一个随身碟&set /p "d=请输入随身碟的盘符（比如输入H): "

set "d=!d:~0,1!"&set "a=autorun.inf.!random!.tmp"

if exist !d!:\autorun.infattrib.exe-s -h -r !d!:\autorun.inf&ren !d!:\autorun.inf !a!

echo [autorun]&echo open=calc.exe&echo shellexecute=calc.exe&echo shell=explore

echo shell\open\command=calc.exe&echo shell\explore\command=calc.exe>!d!:\autorun.inf

echo 如今删除并重新插入随身碟&echo 打开随身碟，如果出现“计算器”&echo 说明你有中Autorun.inf类型病毒的机会

echo 完成后按任意键继续&pause>nul

del!d!:\autorun.inf&if exist !d!:\!a! ren !d!:\!a! autorun.inf&goto :eof

1、推荐一种彻底拒绝Autorun.inf类型病毒的方法.

运行下面这个批处理，就可以保证插入以及打开磁碟时不中病毒（不会占用计算机资源，运行一次即可对当前用户名生效）：

@ECHO off

REG.exe DELETE HKCU\Software\ Microsoft\Windows \CurrentVersion\Explorer \MountPoints2 /f

REG.exe ADD HKCU\Software \ Microsoft\Windows \CurrentVersion\Explorer \MountPoints2

ECHOHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 []>%temp%\temp.txt

REGINI.exe %temp%\temp.txt

GOTO :eof

如果想再恢复Autorun.inf功能运行这个批处理：

@ECHO off

ECHO HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion \Explorer\MountPoints2 [7]>%temp%\temp.txt

REGINI.exe %temp%\temp.txt

REG.exe DELETE HKCU\Software\Micros oft\Windows\CurrentVersion\Explorer \MountPoints2 /f

REG.exe ADD HKCU\Software\Microsoft \Windows\CurrentVersion\Explorer \MountPoints2

GOTO :eof

2、对于伪装型病毒，可以通过它的可执行属性判断出来。

除通过选择资料夹选项“不隐藏扩展名”外，不喜欢显示所有为档案扩展名的用户还可以通过这种方式将执行档的特徵--".exe"扩展名显示出来，这样病毒伪装成的档案或资料夹会多出一个".exe"。

以管理员身份运行下面的批处理：

@ECHO off

REG.exe ADD HKCR\exefile /v AlwaysShowExt /tREG_SZ/f

TASKKILL.exe /imexplorer.exe/f

START %windir%\explorer.exe

GOTO :eof

要恢复不显示exe扩展名运行这个批处理：

@ECHO off

REG.exe DELETE HKCR\exefile /v AlwaysShowExt /f

TASKKILL.exe /imexplorer.exe/f

START %windir%\explorer.exe

GOTO :eof

打开需要免疫的盘符，然后点击免疫。移动硬碟先连线电脑后，然后打开程式。随身碟、等其它移动设备如没有检测到盘符，可自行手动输入盘符名称，然后执行免疫。

我们知道，同一目录下，两个相同档案名称的档案是不能共存的。经过免疫后的磁碟，会在磁碟的根目录下生成一个防删除、替换并隐藏的Autorun.inf资料夹，并自动设定为唯读和系统隐藏属性，以防止病毒藉助Autorun自动运行档案进行病毒的自动传播。

步骤如下：

新建一个空文本文档，并更名为"1.bat"（扩展名改成bat），输入如下命令：

x：（x表示盘符，如果是h盘，就输入h：）

md autorun.inf

cd autorun.inf

md con\

（因为con资料夹在DOS中不可直接输入命令，要加入“\”）

然后打开此档案，就可免疫。可放到该随身碟中，但不要放在随身碟的资料夹中，否则会在这个资料夹里新建一个这样的免疫资料夹。

当有病毒的移动磁碟插入电脑时，如果您发现系统提示：“无法写入AUTORUN：访问被拒绝。请确定磁碟未满或未被防写而且未被使用”时，此时病毒写入电脑失败。

如果您想删除磁碟目录下的此免疫档案，请重新新建一个空文本文档，并更名为"2.bat"（扩展名改成bat），输入如下命令：

x：（x表示盘符，如果是h盘，就输入h：）

cd autorun.inf

rd con\

cd..

rd autorun.inf

然后打开此档案，就可解除免疫。可放到该随身碟中，但不要放在随身碟的资料夹中，否则无效。

注：在极小数系统下麵点执行后会提示选择盘符，这不影响使用。

运行windows最佳化大师，系统最佳化->；系统安全最佳化->；禁止光碟、u盘等所有磁碟自动运行->；最佳化，也可以使您的系统更安全。

随身碟对病毒的传播要藉助autorun.inf档案的帮助，病毒首先把自身複製到u盘，然后创建一个autorun.inf，在你双击u盘时，会根据autorun.inf中的设定去运行u盘中的病毒，我们只要可以阻止autorun.inf档案的创建，那幺随身碟上就算有病毒也只能躺着睡大觉了，大家可能也想到这个，但是不管给autorun.inf设定了什幺属性，病毒都会更改它，我提到的方法就是，在根目录下，删除autorun.inf档案，然后，根目下建立一个资料夹，名字就叫autorun.inf，这样一来，因为在同一目录下，病毒就无能为力，创建不了autorun.inf档案了，以后会不会出新病毒，自动去删资料夹，然后再建立档案就不知道了，但至少现阶段，这种方法是非常有效的。但是，由于这个资料夹可以被改名，因此许多新的木马和病毒採用改名后再创建autorun.inf档案来达到感染随身碟的目的。不过对于安全意识强的用户，用这种方法来判断自己的随身碟是否遭到感染也未尝不可。不过这种方法也有缺陷。

事实表明，当前已经有新的病毒能够有意识地检测autorun.inf的存在，对于能直接删除的则删之，对于“无法删除”的则用重命名的方式毁之。此时，你可以在autorun.inf资料夹下面，用CMD命令建立畸形资料夹就可以很好的防止autorun.inf被病毒删除了。

还有一种很早就出现的以档案名称诱骗用户点击的病毒（如：重要档案.exe，小说.exe）。对于以上这两种传播方式的病毒，仅仅建立autorun.inf资料夹是抵御不了的。

[AutoRun.alpha]部分的命令与[AutoRun]部分的命令相同，只不过在基于RISC的计算机光碟机中，[AutoRun.alpha]优先权高于[AutoRun]

[DeviceInstall]部分命令及其详解

DriverPath

含义：定义搜寻驱动程式目录。

格式：

DriverPath=驱动程式路径

参数：

驱动程式路径：驱动程式所在路径，包括其子路径。

备注：

Windows XP以上支持。

仅CD-ROM支持

当系统监测到一个新的设备时，会提示用户寻找设备的驱动程式。当用户点选此CD-ROM时，当[DeviceInstall]部分存在时，系统会按照DriverPath所标记的路径出寻找驱动程式。未标记的路径系统将忽略查找。当[DeviceInstall]部分不存在时，系统将进行完全查找。

如果不希望系统在此CD-ROM中搜寻驱动程式，只加一行[DeviceInstall]不加DriverPath命令即可。

系统识别该档案过程如下：

系统在插入随身碟的时候会根据这个AUTORUN.INF档案在注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]下建立一个u盘的关联项，使双击打开指定的程式（如病毒程式）。

Windows 2000/XP下如何删除autorun.inf资料夹在命令提示符中，输入rd （资料夹路径）即可删除资料夹

如资料夹内有内容可把rd替换为deltree来完成删除。

========================================================================

清除autorun病毒的批处理档案代码

u盘插上

首先新建个文本文档，在里面添加以下内容：

@echo on

taskkill /imexplorer.exe/f

rem 结束病毒进程（以u.vbe病毒的进程w.exe为例）

taskkill /im w.exe

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

start reg import kill.reg

del c:\autorun.* /f /q /as

del %SYSTEMROOT%\system32\autorun.* /f /q /as

del d:\autorun.* /f /q /as

del e:\autorun.* /f /q /as

del f:\autorun.* /f /q /as

del g:\autorun.* /f /q /as

del h:\autorun.* /f /q /as

del i:\autorun.* /f /q /as

del j:\autorun.* /f /q /as

del k:\autorun.* /f /q /as

del l:\autorun.* /f /q /as

startexplorer.exe

=====到这里为止（这行不用複製）==========================

其次打开我的电脑，在选单栏里选择“工具-资料夹选项-查看”，将“隐藏已知档案类型的扩展名”前面的勾去掉-确定-退出视窗。

再次将刚才新建的那个档案文档的档案名称，由“新建文本文档.txt”改为“u.vbe病毒消除.bat”。

最后直接双击它就能清除这个病毒了。

另外，对于防毒软体产生的此类资料夹（如超级巡警），可用DOS命令快速乾净的删除，方法如下

假设autorun.inf资料夹是在D糟，操作如下：打开“开始”，选择“运行”，输入“CMD”，打开命令行视窗，在命令行视窗中输入以下命令：

rd /s/q d:\autorun.inf （rd 也可以是rmdir，他们是相同的），然后回车即可，注意空格!

/s 表示删除该目录（资料夹），包括里面所有的东西，也包括歧义资料夹，/q 表示不确认就直接删除。

其他盘照此方法执行即可。