三步轻松删除autorun.inf文件夹

电脑硬盘个个分区下都出现了“autorun.inf”文件夹，也不知道是什么时候染上的病毒“遗孀”
用粉碎文件都不行，怎么删也删不掉。

3 v$ Y; l" |" \$ S1 X想了好久，终于想起用DOS命令是最好的，也是最干净的！

方法如下：
0 }) y! h- w; ^$ U: K5 x$ l
8 a0 F1 k' `+ _( i/ p2 ]假设autorun.inf文件夹是在D盘，操作如下： 打开“开始”，选择“运行”，输入“CMD”，打开命令行窗口，在命令行窗口中输入一下命令：
第一步：输入D:  然后回车
第二步：输入rmdir /s autorun.inf  然后回车
第三步：当出现提示时，按“Y”，并回车
其他盘照此方法执行即可！！

安天CERT：高喜宝
一、 病毒标签：
- j" m# o* U. i& r
( e7 E" l. l' U$ @* A! F原文件名： aoturun.exe、run.exe
5 T4 P% U2 N; g3 Z# Z病毒名称： Backdoor.Win32.Delf.avu
$ Z' @: _. g, s' e3 U病毒类型： 后门
文件 MD5： EDA53FC92244C06CA8F70AAD1F8DBB4C
公开范围： 完全公开
9 I/ B+ l" G; W6 H' ~" s3 G% o危害等级： 4
9 i) b2 F: J% R文件长度： 742,400 字节
/ H4 y% t+ ?. Y7 j5 i- L! p3 A4 J感染系统： windows98以上版本
+ C% U9 E8 W+ M. a$ d7 {开发工具： Borland Delphi 6.0 - 7.0
加壳类型： 无
& b& j8 ^; }- ~4 [) a& i命名对照：  驱逐舰 [BACKDOOR.Trojan]
  y8 d5 Y6 }$ P" j9 D, b" Y( z. v- pAVAST [Win32:Hupigon-FB]

二、 病毒描述：
该病毒属后门类，病毒图片为QQ图标，用以迷惑用户点击。病毒运行后衍生病毒文件，在每

个磁盘根目录下建立一个autorun.inf的配置文件，会出现双击磁盘无法打开的效果，并且每

) ?8 J' N' x+ ?% ~当双击磁盘时，病毒都会运行一遍。修改注册表，创建服务，并以服务的方式达到随机启动

2 s/ L/ z6 Q5 x8 B- o' z9 D1 M的目的。该病毒利用移动设备进行传播。
( b- _1 d# @$ H( K
1 ^9 Y# y: s. M, O0 y! r% j; w三、 行为分析：
1、病毒运行后衍生病毒文件：
& T0 Q, Q2 e& G5 @5 y$ d! D9 C) _/ Y2 AX:\autorun.vbs
2 ]6 \" M7 q' L- l" E- d* s$ ]X:\AUTORUN.INF
X:\AUTORUN.exe
( t- O0 t1 k6 D0 F  ?  J2 B+ AX:\autorun.bat
! s# f. _, j( i( U# @; B%Program Files%\Common Files\Microsoft Shared\MSInfo\svchost.exe

5 c+ j' f1 ?, O5 L& I2 c6 V2、修改注册表：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update\
键值: 字串: "Description"="提供最近的关键和安全更新，设备驱动程序，和其它对您的

Windows 计"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Update\
9 \8 e9 d5 \; J: y6 c0 E/ Z键值: 字串: "ImagePath"="C:\Program Files\Common Files\Microsoft Shared\
, {( }$ R- F# O- P" j, N* w* A( U& J
& E8 F" E/ ?1 v0 q( bMSINFO\svchost.exe"

. d" I. H* Y. ]6 v1 t% X+ [3、创建服务，并以服务的方式达到随机启动的目的：
服务名称：Windows Update
, h, J1 v$ C! e显示名称：Windows Update
描述：提供最近的关键和安全更新，设备驱动程序，和其它对您的 Windows 计
/ b- F, b! ~# N8 a0 g可执行文件的路径：%Program Files%\Common Files\Microsoft

. R8 v1 T9 A' u# p$ AShared\MSINFO\svchost.exe
+ H  A7 H: }" F4 z启动方式：自动
" Q3 G2 n- a/ H
4、该病毒利用U盘等移动设置进行传播：
当移动硬盘接入中毒计算机后，病毒会自动在移动硬盘根目录下创建AUTORUN.INF配置文件，

3 f. T2 I! I) I: B: k并复制autorun.exe。使移动硬盘感染。当此移动硬盘接入其他电脑后，双击移动硬盘便会执
2 c& Q" t1 D/ ^3 u& ?
行autorun.inf的配置文件，运行病毒autorun.exe。从而进行传播感染。

) Z8 w7 f( `+ A8 m注：%

$ @. W1 [% Y# E& \" S3 k, qSystem%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2

000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Wi

, ~' v, C8 r& p) ^3 E9 Undows\System，windowsXP中默认的安装路径是C:\Windows\System32。
四、 清除方案：
; m, ~! n) t0 X% b- Y1 w- |4 ^& ?1、使用安天木马防线可彻底清除此病毒(推荐)。
( P7 d8 j& T* P  ^1 r# b2 E9 M2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
      (1) 使用安天木马防线“进程管理”关闭病毒进程
! A( i2 g& M  u( A5 ]6 h& T      (2) 删除病毒文件
X:\autorun.vbs
X:\AUTORUN.INF
X:\AUTORUN.exe
X:\autorun.bat
; l& H8 x6 r$ Y3 ?0 Y%Program Files%\Common Files\Microsoft Shared\MSInfo\svchost.exe
$ {1 I' H2 Z* g% G右键打开磁盘，删除每个盘符下的autorun文件。
注：删除autorun期间请勿双击盘符。
      (3) 禁止服务：
禁止服务：Windows Update
. Q- M4 ^& u4 b) @把Windows Update服务的启动方式改为：已禁止