来源：网络

这个病毒的形态为autorun名称的隐藏文件，后缀名为inf、exe等十种，通常表现为打开U盘，双击打不开，要右键，打开才行。；系统变慢。有的没有感觉到异样，不大影响使用，但硬盘根目录下有各种名为autorun的隐藏文件，所以很多人以为那是正常的系统文件而没有清除它。
如果已经感染，它会自动在每个盘符下生成相关文件。
检查最方便的方法是：打开winrar软件，浏览硬盘C、D、E等根目录即可，如果发现有名为autorun的各种文件，就应该立即采取措施了。

1、autorun.exe病毒

最近可能许多人都遇到过u盘打不开的问题，双击后提示拒绝访问，右键单击菜单的前几项是英文，这是u盘中的症状，是病毒，autorun病毒，有的也叫rose 病毒
此病毒作用机理是在各个盘的回收站中复制autorun.exe病毒体，同时创建autorun.inf自运行文件（均为系统隐藏文件，需要在文件夹选项中做相应设置才可以见）。autorun.inf的作用是当你双击盘符时自动运行指定程序(所以有时要右键点击打开)。此病毒autorun.inf里:
[autorun]
Shellexecute=RECYCLER\autorun.exe
就是指定autorun.exe这个病毒程序的运行。
中毒之后症状：
1、在系统中占用大量cpu资源。
2、在每个分区下建立autorun.exe、autorun.inf2个文件，双击该盘符时显示自动运行，但无法打开该分区。
3、大部分通过U盘、移动硬盘等存储设备传播。
4、可能会引起部分操作系统崩溃，表现在开机自检后直接并反复重启，无法進入系统。
5、当插入u盘时自动播放对话框中的第一选项就不再是播放而是运行这个盘中的程序
6、删除盘中的word文档等



2、U盘病毒和Autorun.inf文件分析
autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。

病毒作者利用autorun.inf的自动功能，让移动设备在用户系统完全不知情的情况下，“自动”执行任何命令或应用程序。因此，通过这个 autorun.inf文件，可以放置正常的启动程序，如我们经常使用的各种教学光盘，一插入电脑就自动安装或自动演示；也可以通过此种方式，放置任何可能的恶意内容。

目前相关的U盘病毒的隐藏方式：

　　有了启动方法，病毒作者肯定需要将病毒主体放進光盘或者U盘里才能让其运行的，但是堂而皇之的放在U盘里肯定会被用户发现而删除（即使不知道其是病毒，不是自己的不知名文件也会删除吧），所以，病毒肯定会隐藏起来存放在一般情况下看不到的地方了。一种是假回收站方式：病毒通常在U盘中建立一个 “RECYCLER”的文件夹，然后把病毒藏在里面很深的目录中，一般人以为这就是回收站了，而事实上，回收站的名称是“Recycled”，而且两者的图标是不同的.

　　另一种是假冒杀毒软件方式：病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。

　　(需要去隐藏才能看到)

　　如果U盘带有上述病毒，还会一个现象，当你点击U盘时，会多了一些东西--右键菜单多了“自动播放”、“Open”、“Browser”等项目。这里注明一下：凡是带Autorun.inf的移动媒体，包括光盘，右键都会出现“自动播放”的菜单，这是正常的功能。

：

　　目前的U盘病毒都是通过Autorun.inf来進入的；
　　Autorun.inf本身是正常的文件，但可被利用作其他恶意的操作；
　　不同的人可通过Autorun.inf放置不同的病毒，因此无法简单说是什么病毒，可以是一切病毒、木马、黑客程序等；
　　一般情况下，U盘不应该有Autorun.inf文件；*
　 如果发现U盘有Autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒；
　　如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它；
　　同时，一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。
注：
　　*：部分U盘制造商可能也会利用Autorun.inf進行自己的特色设计，目的是为了让用户执行厂商的特色程序。已确认部分厂商确实使用了这种方式，因此建议购买U盘是先做识别，或咨询销售人员。

附站长语：如果在清除病毒后，双击驱动器依然无法正常打开，就到注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\下面看看其中的A、C、D、E、F这类代表驱动器的项的下面是否还有子项，如果有的话就把子项删除（一般子项是名为shell之类的，会在其中看到病毒程序的信息的）。