在实施苏州建设银行PDS项目过程中，发现许多电脑和U盘都染有autorun类型病毒。以下是这类病毒的特征、传播、查杀和防范方法。

◆autorun类型病毒特征
在驱动盘根目录下出现autorun.inf和xxx.exe(这里的xxx.exe代表一类文件，如sunny.exe、real.exe、ctfomn.exe、floder.exe、desktop.exe、temp.exe等)文件，且都为隐藏属性。右击驱动器盘符，右键菜单出现“Auto”或者“Open”选项。移动设备右键菜单出现“自动播放”选项。若是双击驱动器盘符，就会激活病毒。这类病毒还有两中可能的隐藏方式：一种是假回收站方式：病毒通常在U盘中建立一个“RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，让用户以为这是回收站。而事实上，回收站的名称是“Recycled”，而且两者的图标也不同。另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，命名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。真正的瑞星程序进程为Ravmon.exe。RavmonE.exe病毒运行后，会出现同名的一个进程，一般会占用19-20M左右资源。程序大小为3.5M，在Windows目录内隐藏为系统文件，且自动添加到系统启动项内。

◆autorun类型病毒的传播
在染毒的电脑上使用U盘时，电脑里的病毒就会自动复制到U盘当中，并自动创建一个Autorun.inf文件，这些文件都会以隐藏形式储存。若在其他电脑上使用含有病毒的U盘，当按常用的双击方法打开U盘时病毒就会根据.inf文件的设置运行并移植到当前的电脑中！ 

◆autorun类型病毒的查杀
(1)、开始->运行->输入cmd打开命令提示符。cd到驱动器根目录下输入dir /a a*(/a是显示所有文件和目录)。查看是否有autorun.inf文件。若有则可以用记事本打开autorun.inf文件。
autorun.inf文件内容一般为： 
[AutoRun]                    //表示AutoRun部分开始
Shell\标志                     //显示的鼠标右键菜单中内容（Auto或者Open）
Open=X:\xxx.exe         //指定要运行程序的路径和名称 
(2)、输入attrib autorun.inf -s -r -h 去掉autorun.inf文件的“系统”、“只读”、“隐藏”属性，否则在删除时可能会提示“拒绝访问”。输入del autorun.inf删除autorun.inf文件。
(3)、在任务管理器里结束掉所有xxx.exe（具体什么病毒，可在此前查看autorun.inf文件时得知）进程。
(4)、开始->运行->输入regedit调出注册表编辑器->编辑->查找xxx.exe。找到后删除整个shell子键。重复查找直到删除所有含有xxx.exe的注册表项目。
(5)、像删除autorun.inf文件那样删除xxx.exe文件。
重复上面步骤删除每个驱动器下的病毒。
Sunny.exe病毒在系统启动时修改系统的时间。删除病毒后改回即可。Real.exe修改注册表。导致用户执行“工具->文件夹选项->查看->高级设置->显示所有文件和文件夹”失效。解决方法：运行regedit,找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\showall分支，在右边的窗口中右击CheckedValue键值项，删除,再在空白处右击,新建一dword文件,重命名为CheckedValue,把键值改为1。此类病毒虽然都为隐藏属性，并且大都修改注册表使通过设置文件夹选项时仍不可见。但也可以通过如下途径删除：搜索xxx.exe，选中高级选项中的包括隐藏文件和文件夹。搜索后多个驱动器下的病毒文件一起删除。 

◆autorun类型病毒的防范
(1)、阻止autorun.inf文件创建：在记事本里输入以下代码保存为.bat文件，双击运行。 
X:
attrib -s -r -h X:\autorun.inf
del autorun.inf /f
md autorun.inf
cd autorun.inf
md autorun.inf.. 
(2)、在使用U盘时，按下shift键不放，然后插入U盘。直到电脑提示“新硬件可以使用”。(这样可以对U盘实行写保护。) 用右键点击U盘，选择“资源管理器”来打开U盘。最好不要双击打开U盘。

最后：Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；一般情况下，U盘不应该有Autorun.inf文件；* 如果发现U盘有Autorun.inf，且不是用户自己创建生成的，请删除，并且尽快查毒；如果有类似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是正常创建生成的，请删除它。部分U盘制造商可能也会利用Autorun.inf进行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘时先做识别，或咨询销售人员。