软件特色
- 独有的精确查杀系统，能够针对病毒的病毒文件、注册表、服务、备份副本、根目录残余、文件夹残余进行全面的检测与清理，对每一种病毒的查杀都相当于专杀的效果。
- 独有的扩展查杀系统，对于随机命名的病毒有着100%的识别率，并能够智能分析出相关的病毒注册表项并给予删除。
- 独有的DLL病毒清理机制，让DLL病毒也无法为非作歹。
- 在国内首个可以对全盘进行残余扫描检查，清除病毒更彻底。
- 专业的系统修复工具，全面修复被病毒篡改的系统。
- IFEO映像管理功能，让所有被病毒劫持的项目显露无余，您可以轻松的删除被病毒劫持的文件。
- 恢复文档工具，能够恢复被病毒隐藏起来的Word、Excel和PDF文档的正常属性。
- 文件清理工具，能够将存在于临时文件中的病毒副本轻松剿灭。
- 独有的深度免疫工具，在NTFS分区上能够确保病毒无法感染。在FAT32分区上也能阻止一部分病毒的感染。
- 自带系统自动播放的两个开关程序，可以随时方便的启用和禁用，避免U盘病毒的传播。
- U盘解锁和U盘软件写保护功能，让您的U盘使用起来更加自如。
- 独有的顽固目录删除工具，能够将病毒留下的删不掉的顽固目录全部彻底清除。
- 独创的“病毒现身！”工具，能够将所有根目录隐藏的病毒全部曝光在您的视野下。
- 独创的“病毒智能分析”工具，只需要输入病毒的路径，就可以查出与之关联的文件、注册表、服务等项，方便高级用户手动清除未知病毒。
- 针对U盘病毒专门研发的“生成系统诊断报告”功能，详尽分析U盘病毒会篡改的注册表、服务、IFEO映像、HOSTS文件、驱动程序等项目，并能够分析各个磁盘目录下的Autorun.inf文件，找出病毒文件。
- 独有的“病毒样本提取”功能，只需要指定盘符，就能自动识别盘符下的Autorun.inf文件和病毒文件。
- 详尽的日志记录系统，记录每一个程序操作，让您了解软件的运作情况。

系统需求
- 操作系统：Windows 2000/XP/2003/Vista
- 内存需求：最小需要16MB的运行内存
- 磁盘空间：最小需要2MB的可用磁盘空间

2007-12-02 主程序及病毒库更新:
- 主程序更新至2.1.1.180正式版。
- 由于自动检查更新会在有更新发布时占用大量服务器带宽资源，因此本版本取消了自动检查更新的选项及其一切功能，请大家见谅。
- 自动更新程序升级到3.1版，容错更强，功能更完善，修正了之前存在的几个小问题。此外，还增加了文件MD5校验，防止下载的更新文件不正确。
- 诊断报告增加了内存容量检测，以及病毒库日期显示，对注册表的检查更加的全面了。
- 增强的删除目录函数，删除各类病毒顽固目录更加得心应手。
- 以前会弹出命令控制台窗口的命令，现在不会弹出这类窗口了。
- 修正了不能修复显示所有文件和文件夹的问题。
- 修正了实时监控在插入U盘时会出错退出的问题。
- 修正了对服务的启动类别判断失误的问题。
- 新增精确查杀6种，扩展查杀107个。当前可精确查杀252种，扩展查杀1324个病毒。

友情提示：已经在使用了v2任何版本的用户，可以通过自动更新升级至2.1.0.150正式版。以前使用1.x版的老用户，已经可以通过自动更新进行版本平滑升级了！

更新记录：http://rensoft.com.cn/bbs/read.php?tid=487
官网：http://rensoft.com.cn

下载:Autorun病毒防御者 v2.1.1.180 正式版

您可能也对这些文章感兴趣

• Autorun.inf的新写法与应用以及防御(不错的文章，收藏一下)
• 彻底摆脱autorun.inf的诱惑

[autorun]
open=.\RECYCLER\RECYCLER\autorun.exe
shell\1=Open
shell\1\Command=.\RECYCLER\RECYCLER\autorun.exe
shell\2\=Browser
shell\2\Command=.\RECYCLER\RECYCLER\autorun.exe

shellexecute=.\RECYCLER\RECYCLER\autorun.exe

它的效果是当双击打开盘时.会运行RECYCLER\RECYCLER\autorun.exe文件,用右键打开,会显示Open,Browser.
还有一种是

[autorun]
OPEN=SVCH0ST.EXE
shell\open=打开(&O)
shell\open\Command=SVCH0ST.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=SVCH0ST.EXE
对于这种U盘病毒，无论右键选择“打开”还是“资源管理器”病毒都会运行。
一种利用autorun.inf提权的方法（转）
以前看过很多关于AutoRun.inf的利用文章,网上全是千篇一律,互相模仿.我再来添点东西吧~

还是先简单说下原理吧.写一个AutoRun.inf文件,放在对方某一盘符下,当管理员双击此盘时,就会执行AutoRun.inf指定的文件了.一般用在入侵时没有运行权限时,欺骗管理员帮你运行..

以前我在网上看到的都是一个模式

[AutoRun]

open = 你想运行的程序

先不说这样运行是不是成功的,稍微想一下,就知道有问题,人家管理员不是傻子,这样双击是打不开盘符的,人家肯定知道出问题了,所以你玩不长的..

事实上那个文件在我机子是运行不起的,网上也没找到解决办法,相信还有很多人和我遇到过同样的问题,求人不如求已,自己搞定吧.

也不难,只要这样写就OK了:

[AutoRun]
open=AutoRun.exe
shellexecute=AutoRun.exe
shell\Auto\command=AutoRun.exe

这样,你把它保存为一个.inf文件,放在C盘下,AutoRun.exe为你指定的运行程序.这样双击C盘就可以成功运行了.前面还说过一个问题,就是C盘打不开,很容易就被管理员发现了,有待改进.下来就说怎么解决这个问题,GO ON!

其实这个实现起来也不难,先把AutoRun.inf上传至对方C盘,我们可以做一个自解压包,也放在C盘根目录下,让他成为我们的指定运行文件,里面包含我们要运行的程序,比如木马,还一个VBS脚本,自解压包执行后先让他执行VBS脚本,内容如下:

set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start WINLOG0N.exe",0
yu.run "cmd /c del AutoRun.inf",0
yu.run "cmd /c start c:\",0
yu.run "cmd /c del AutoRun.vbs",0

我再简单解释下,解压后VBS帮我们运行winlogon.exe(我配置好的木马),然后删掉AutoRun.inf,为什么要删掉它,第一,减少被发现的机会,二,删掉它,管理员重启机子或注销后如果右键点击盘复符不会出现"播放",一切恢复中马前的状态,当然之前我们的木马已经运行了.第四行代码: 我们为他打开C盘,最后再删掉vbs脚本自身.

这样改进后个人觉得安全性大大提高了.呵呵..各位在测试的时候只须把上面脚本中的 WINLOG0N.exe改为自己的木马就可以了.winxp sp2下测试成功。
防治方法
其实这个文件不是病毒。也是用来打开病毒了。防治它的思路有两种：一是禁用自动播放，二是删除它，三是阻止它生成。
1。在Windows系统有允许和阻止自动运行的键值的方法：

　　 在注册表中找到如下键：

键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

设备名称 第几位 值 设备用如下数值表示 设备名称含义
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04h 可移动驱动器
DRIVE_FIXED 3 0 08h 固定的驱动器
DRIVE_REMOTE 4 1 10h 网络驱动器
DRIVE_CDROM 5 0 20h 光驱
DRIVE_RAMDISK 6 0 40h RAM磁盘

其中： 保留 7 1 80h 　未指定的驱动器类型

以上值"0"表示设备运行，"1"表示设备不运行。
从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。
   还有就是通过组策略关闭自动播放，但是在有些版本window xp 中不存在哪个策略。
2。为了防止autorun.inf的生成，我们可以在u盘根目录下创建一个名字是autorun.inf的文件夹。
3。我们可以选择在dos下删除文件，但是在通常情况下autorun.inf有系统，隐藏，只读属性。所以应该先去掉这些属性之后再删除文件。具体方法如下：
开始---运行---cmd（打开命令提示符）
D: dir /a a* （没有参数A是看不到的，A是显示所有的意思）
此时你会发现一个autorun.inf文件，
attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性。然后就可以删除了
del AutoRun.inf
二.常见的病毒
通过autorun文件可以打开任何文件，所以很难讲什么是常见的。我所觉得有趣的是，运行病毒之后，病毒的自我保护方法。比如说存在保护程序，禁用注册表，禁用显示隐藏文件选项或文件夹选项。隐藏进程等等。
1。注册表的禁用与解用。

最好的方法是下载个注册表修复工具
你先到这里看看瑞星的注册表修复工具http://it.rising.com.cn/service/technology/RegClean_download.htm
如果仍然不能解决请按1楼的方法试试
假如"运行"被禁止掉那么请用下面介绍的方法

注册表编辑器已被禁用，我们用INF文件来解除。那么我们可以在记事本里写入下面的内容：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁注册表编辑器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0

然后把文件另存为一个INF文件，右击文件----点“安装”就可以啦^O^
我们可以看到第一个语段，在Signature后面的签名"$Windows NT$"它是指明我的操作系统是NT的，如果你的操作系统是98的在后面的签名中应该写"$CHICAGO$"。
再看第二个语段，等号左边的“ADDREG”是不能更改的，等号右边的内容就随你的心情啦，但是有一点要注意，就是要与在第三个语段中使用的语句保持一致。另外还有一项操作是“DELREG”(删除键)和“ADDREG”的用法一样，后面介绍。
好了，这回各位看观是不是想要跃跃欲试了呢，不要着急，好像还有一点和REG文件不一样噢，呵呵我看出来了，就是在文件的最后，怎么有“，”(注：逗号)。还有“HKCU”这些都是什么呀？
这就是与REG文件不一样的格式啦。
“HKCU”指的是注册表中的根键，其中“HKCU”是“HKEY_CURRENT_USER”的缩写，其它的还有“HKCR”--- “HKEY_CLASSES_ROOT”、“HKLM”----“HKEY_LOCAL_MACHINE”、“HKU”---- “HKEY_USERS”、“HKCC”----“HKEY_CURRENT_CONFIG”、“HKDD”----“HKEY_DYN_DATA”。如果你想要对哪个根键操作那么就可以按照上面的缩写对号入座了。
“，”(注：逗号)，它是根键与子键、子键与键名、键名与键类型、键类型与键值的分割符。
在具体修改注册表键值语段的格式为：根键，子键，键名，键类型，键值(注：中间的逗号不能省略)。
上面这个文件中我们知道其实要修改的是DisableRegistryTools键，把它的值改为“0”。它的类型为DWORD(双字节)，在INF文件有关注册表的操作中有字符串类型(用“0”表示)和二进制类型(用“1”表示)，在网上没有找到INF文件表示双字节类型的资料，望知道的人补充。在这里我们直接用二进制类型就可以了，所以大家看到在键类型的位置上是个“1”，最后是要修改的键值“0”。
前面提到“DELREG”它是删除键值的操作，如果要想把DisableRegistryTools键删除的话可以这样写：
[Version]
Signature="$Windows NT$"

[DefaultInstall]
DELREG=Mydel

[Mydel]
;删除DisableRegistryTools键
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

就是省略掉键类型和键值字段，最后把这个文件另存为一个INF文件，右击文件----点“安装”就可以了。
好了，不知道各位看观是不是看明白了，没看明白也没关系，我写了一个，大家只要把下面的内容复制到记事本中，然后把这个文件另存为一个INF文件，最后右击文件----点“安装”就可以了。(注：这个文件可以解决前文中所提到问题，只能在NT系统中使用，主页会被改成20CN的首页，嘻嘻做个广告啦 ^O^)。

-----------------------------------------------------------------------------------
[Version]
Signature="$Windows NT$"

[DefaultInstall]
ADDREG=Myadd

[Myadd]
;解禁注册表编辑器
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,1,0
2。显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示。

您可能也对这些文章感兴趣

• 彻底摆脱autorun.inf的诱惑
• autorun.inf完全操作手册
• Autorun病毒防御者 v2.1.1.180 正式版

　　其实很早就想写这篇文章，可是一直不知道应该从何说起。想来想去，还是从用户的中招及防御角度解析一下autorun.inf吧！
　　
　　兵欲善其事，必先利其器！我认为还是有必要解释一下autorun.inf究竟是什么？首先需要声明的是autorun.inf并不是病毒，这也是众多杀毒软件对此文件不理不顾的原因。可以理解为它是微软为了方便开发者去自定义当前操作用户进入驱动器的方式而建立的一种特殊的打开磁盘以及进行相关操作方式的引导文件。譬如当你将windows xp的安装盘放入光驱后，你没有进行任何操作，windows安装程序即会自动运行，这即是开发者所定义的你浏览光盘的方式。但是凡事有利有弊，当病毒制造者将此文件引导向一个病毒文件时，该病毒就会进入激活状态。
　　
　　通常由于U盘使用的并不是光盘格式，所以虽然在根目录下有autorun.inf文件（autorun.inf仅在驱动器的根目下有效，这里包括映射成驱动器的目录），但其本身不会随U盘的插入而运行，而病毒之所以能够通过其运行，一般是由于用户的误操作而引起的，我将会一一说明！
　　
　　这里Monyer将排除硬盘和光盘而直接进行可移动磁盘的分析，因为它才是病毒传播的源泉嘛，然后一步步解开autorun.inf的面纱。（在网上对于autorun.inf的用法以及执行结果众说纷纭，所以这里仅以我在单机上测试的结果为例）
　　
　　一级诱惑
　　
　　最能诱骗用户上当的招数应该是“双击”了
　　
　　当autorun.inf里的内容为：
　　
　　[autorun]
　　shellexecute=Project1.exe
　　
　　你双击时，它引导的程序就运行了，不仅如此，此时点击右键的“自动播放”也会运行程序（此时有两个“自动播放”，其中没有被加粗的是系统原来的，但是若重启后，系统的“自动播放”菜单会消失）。
　　
　　所以有人给出高招是，通过右键“打开”菜单，打开U盘。然而当你这么做时，你可能已经中了另外一个圈套。
　　
　　二级诱惑
　　
　　当autorun.inf里的内容为：
　　
　　[autorun]
　　shellexecute=Project1.exe
　　shell\open\Command=Project1.exe
　　
　　你不仅双击会运行程序，点击右键的“打开”菜单，依然会运行该程序，点击“自动播放”仍会运行。
　　
　　而此时又有人想出了新办法，通过右键的“资源管理器”打开U盘。而此时你已经无形中落入了第三个圈套。
　　
　　三级诱惑
　　
　　当autorun.inf里的内容为：
　　
　　[autorun]
　　shellexecute=Project1.exe
　　shell\open\Command=Project1.exe
　　shell\explore\Command=Project1.exe
　　
　　你除了上述的方式都会运行病毒，而且这回通过右键的“资源管理器”也会运行病毒。
　　
　　而且不仅仅如此，如果autorun.inf里的内容为：
　　
　　[autorun]
　　shell\Auto\command=Project1.exe
　　shellexecute=Project1.exe
　　shell\open\Command=Project1.exe
　　shell\explore\Command=Project1.exe
　　shell\find\Command=Project1.exe
　　shell\SomeWords\Command=Project1.exe
　　
　　此时你的右键会增加auto和somewords菜单，点击都会运行，而且此时甚至点击“搜索”（有时有些人常以此方法搜索删除autorun.inf）都会运行程序
　　
　　所以通过鼠标左键双击和右键选择来打开U盘，都是都不可取的了。
　　
　　这里monyer给出两种方法：
　　
　　一是win+r输入盘符（有人说这种方式也能运行程序，不过我没有发现）
　　
　　二是通过工具栏的“文件夹”选项在左侧打开
　　
　　
　　
　　当然，你也可以选择用简易U盘病毒清理系统打开，它会先删除autorun.inf，并重启explorer，然后打开U盘。
　　
　　当然，那样做是很费劲的，那么我们还不如一了百了，在注册表中禁用它：
　　
　　注册表的位置为：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
　　"NoDriveTypeAutoRun"
　　
　　其中：
　　
　　01h DRIVE_UNKNOWN （未知设备）
　　02h DRIVE_NO_ROOT_DIR（没有根目录的设备）
　　04h DRIVE_REMOVABLE（可移动设备，U盘）
　　08h DRIVE_FIXED （固定的设备，硬盘）
　　10h DRIVE_REMOTE （网络设备，web驱动器）
　　20h DRIVE_CDROM （光驱）
　　40h DRIVE_RAMDISK（虚拟存储设备）
　　80h （未指明的驱动设备）
　　
　　在选择他们时，应采取相加的关系，譬如你需要除了光驱，剩下的设备都不允许运行。那么就是01+02+04+08+10+40+80=df（注意：这里是十六进制的加法）（全部禁用为ff，建议修改为ff），所以打开注册表将默认的95改成df就可以了
　　
　　你也可以将以下代码保存为*.reg文件然后运行：
　　
　　Windows Registry Editor Version 5.00
　　
　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
　　"NoDriveTypeAutoRun"=dword:000000df
　　
　　当然，什么运行什么不运行需要你自己选择。但是如果你的设置方法也是df，也就是允许光盘运行。但是某些时候你却不想让光盘自动运行，那么有几种方法，我一般爱用的一种是按住shift键，其他方法请见http://support.microsoft.com/kb/126025/zh-cn
　　
　　好了本文到此结束，没有什么技术含量，文中若有谬误或遗漏之处还请高手多多指教，我好及时改正，以免贻笑大方，谢谢！
　　
　　本文参考了如下文章或文献，在此表示感谢：
　　
　　CyyIsGood和Cloud的U盘病毒分析
　　如何测试 Autorun.inf 文件
　　autorun.inf完全操作手册

您可能也对这些文章感兴趣

• Autorun.inf的新写法与应用以及防御(不错的文章，收藏一下)
• autorun.inf完全操作手册
• Autorun病毒防御者 v2.1.1.180 正式版