recycled\info.exe病毒。
【症状】：在分区上点击右键，第一项是“浏览”，双击盘符后在新窗口打开。去掉隐藏后，可见每个盘符下出现autorun.inf和recyled文件夹，文件夹使用回收站图标。
【分析】：类似病毒从去年八月以来就很流行，各种利用autorun.inf的类似病毒层出不穷。此病毒特色在于利用了回收站。名为小写recyled的回收站在正常情况下只在FAT分区中出现，图标是回收站图标。NTFS中的回收站名为大写RECYLER，图标为普通文件夹图标，双击打开后看见一系列名为类似“S-1-5-21-15471616……”的文件夹，并都是回收站图标。我的分区是NTFS的，所以这个病毒很明显被发现了。
【深入分析】：
-----------------------------
在每个根目录下面生成  autorun.ini  ,“autorun.inf”中的内容：
[autorun]
open=.\recycled\info.exe
shell\1=浏览
shell\1\Command=.\recycled\info.exe
shellexecute=.\recycled\info.exe
-----------------------------
病毒在电脑里的文件：
recycled\info.exe，这个通过explore看不见
windows\uda.exe
windows\system32\odbcasvc.exe
Documents and Settings\Nick\Local Settings\Temp\s.exe
病毒还自动添加服务：odbcasvc [Microsoft Data Access - ODBCAdministration Service] -C:\WINDOWS\SYSTEM32\odbcasvc.EXE
【解决方案】
1、先在进程管理器中结束这个进程odbcasvc.exe
2、建立shadu.cmd，输入以下内容，删除病毒在系统中的文件：
attrib -s -r -a -h C:\windows\uda.exe
attrib -s -r -a -h C:\windows\system32\odbcasvc.exe
attrib -s -r -a -h C:\Documents and Settings\Nick\Local Settings\Temp\s.exe
attrib -s -r -a -h c:\autorun.inf
attrib -s -r -a -h c:\recycled\info.exe
attrib -s -r -a -h d:\autorun.inf
attrib -s -r -a -h d:\recycled\info.exe
attrib -s -r -a -h e:\autorun.inf
attrib -s -r -a -h e:\recycled\info.exe
attrib -s -r -a -h f:\autorun.inf
attrib -s -r -a -h f:\recycled\info.exe
attrib -s -r -a -h g:\autorun.inf
attrib -s -r -a -h g:\recycled\info.exe
attrib -s -r -a -h h:\autorun.inf
attrib -s -r -a -h h:\recycled\info.exe
del c:\autorun.inf
del c:\recycled\info.exe
del d:\autorun.inf
del d:\recycled\info.exe
del e:\autorun.inf
del e:\recycled\info.exe
del f:\autorun.inf
del f:\recycled\info.exe
del g:\autorun.inf
del g:\recycled\info.exe
del h:\autorun.inf
del h:\recycled\info.exe
del C:\WINDOWS\system32\Com\lsass.exe
del C:\windows\uda.exe
del C:\windows\system32\odbcasvc.exe
del C:\Documents and Settings\Nick\Local Settings\Temp\s.exe
3、删除病毒在注册表中的东西：以下两个是要删除的项，找到后取得完全控制权限，然后删掉
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ODBCASVC]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\odbcasvc]
（取得权限方法：以管理员身份登录，在要删除的项上单击鼠标右键选“权限”->添加->高级->立即查找->选中自己的用户名点确定，再次“确定”后，在“完全控制”上选中“允许”，然后确定，就可以删掉了）

=========================================================
【以下是我参考过的资料】：
=========================================================

关于各盘符下出现“autorun.inf”的一种解决方案
open=.\recycled\info.exe
shell\1=浏览
shell\1\Command=.\recycled\info.exe
shellexecute=.\recycled\info.exe 打开recycled文件夹（回收站），发现什么都没有，显示所有文件、系统保护文件也看不到，用瑞星（版本号19.10.30）、卡巴（病毒库2007-02-18）全面扫描，均未发现病毒。在提示符下进入文件夹，输入attrib，发现了info.exe的文件属性为SHR（系统、隐藏、只读），运行
attrib -s -h -r info.exe
还是不能在回收站里显示此文件，于是将其移动出回收站，看到图标与.dll的图标一样，在网上查找无果，用瑞星直接查杀此文件，提示不是病毒，想到了最近闹得很凶的“熊猫”下载江民的熊猫专杀，也无法识别它（快哭了），突然想起来前一天有瑞星防火墙提示一个签名被我认为是"Microsoft Corporation”的程序要访问网络，让我“允许”了，打开瑞星防火墙查看访问规则中的程序列表，找到了那个文件名为"odbcasvc.exe”在"c:\windows\system32\”下，找到此文件，惊喜地发现图标也是.dll的那个样子。
先在进程管理器中结束这个进程odbcasvc.exe。
开始->运行->cmd
输入  D:  回车
切换到D盘根目录，
输入  del autorun.inf  回车
删除Autorun.inf文件，注意不要在Windows下删除，因为在你双击D盘的同时autorun.inf会自动运行，再次启动病毒，然后
输入  cd recycled  回车
输入  del info.exe  回车
（其它磁盘同样方法处理，只是把D:换成E:、F:等
在注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
下删除 LEGACY_ODBCASVC
在注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
下删除 odbcasvc 删除上述两个注册表信息需要获得“权限”方法如下：
开机时按F8进入安全模式，以Administrator登录，开始->运行->regedit.exe
在左边找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
在"Root"上单击鼠标右键选“权限”->添加->高级->立即查找->选中"Administrators"点确定
再次“确定”后，在“完全控制”上选中“允许”，然后确定，就可以删掉了；第二个键值的删除方法一样。总结：
记得中招的时候正在访问某个比较大型的网站，突然提示安装来自"Microsoft Corporation"安装提示，稀里糊涂的就安装了，然后又在防火墙提示的时候没仔细看就“允许”了。。。
所以千万不要盲目相信“大”网站安全，某些“大”网站因为其重要性（比如银行）会经常受到别人的攻击，被人中下木马，所以尽量不要安装那些来历不明的插件、并认真识别它的各项属性以免中招。补充：
看到下面有朋友说找不到文件，这里说明一下，因为这个病毒的属性是“系统、隐藏、只读”的，如果要删除这类文件需要做以下操作：打开控制面板->文件夹选项->查看，在“高级选项”中去掉“隐藏受保护的系统文件（推荐）”、“隐藏已知文件类型的扩展名”前面的对号，选中“显示所有文件和文件夹”，确定，然后再到C:\windows\system32下面，就能看见它了，删除以后可以恢复上面的几个选项。
==========================================================

卡巴307杀不出来？info.exe，uda.exe，odbcasvc.exe
在每个根目录下面生成  autorun.ini  ,
[autorun]
open=.\recycled\info.exe
shell\1=浏览
shell\1\Command=.\recycled\info.exe
shellexecute=.\recycled\info.exe

使用的是卡巴307，应该是昨天晚上中的，当时电脑突然就特别卡，CPU占用100%达5、6分钟吧，我就直接摁重启键了，重启之后在显示完桌面壁纸后弹出两个runtime error！的框框之后又自动重启，正常进入windows，卡巴却没有开启，手动开卡巴，显示：
进程  (PID 1056) 尝试 访问 卡巴斯基互联网安全套装 6.0 进程 (PID 2200), 已被自我保护功能阻止。
进程  (PID 3028) 尝试 访问 卡巴斯基互联网安全套装 6.0 进程 (PID 2200), 已被自我保护功能阻止。
但是之后用卡巴全盘扫描却没有发现病毒。
baidu出以下内容：
病毒在回收站里面 info.exe，这个我通过explore看不见
另外还还有windows\uda.exe,这个可以通过explore看见
和windows\system32\odbcasvc.exe，这个只可以通过explore看见odbcasvc.dll
以及Documents and Settings\Nick\Local Settings\Temp\s.exe,这个通过explore看不见
病毒还自动添加服务：odbcasvc [Microsoft Data Access - ODBCAdministration Service] -C:\WINDOWS\SYSTEM32\odbcasvc.EXE
---------------------------------------------
被感染的磁盘根目录下会生成一堆autorun.*文件，包括
autorun.bat、autorun.vbs、autorun.bin、autorun.inf、autorun.txt、autorun.reg、autorun.wsh。
其中autorun.inf文件是感染传播的关键，用记事本打开：发现其内容为：
autorun风暴
[autorun]
open=
shell\open=打开(&O)
shell\open\Command=WScript.exe .\autorun.vbs
shell\open\Default=1
shell\explore=资源管理器(&X)
一般利用优盘进行传播的病毒都会有这样一个文件。为避免激活病毒，大部分人在遭遇这样的病毒时采取的措施是右击盘符，选择“打开”，不过这要是这么做就正中病毒编写者下怀，他正是利用了大多数人处理这一类病毒时的动作，将“打开”和“资源管理器”两个菜单关联到新的命令：运行Windows自带的wscript.exe以调用病毒文件autorun.vbs。如果你正是这么做的，请在第一时间打开任务管理器，要是看到一个叫wscript.exe的进程，说明你已经中招，不要迟疑，立即结束该进程。然后从地址栏进入每个磁盘根目录，注意，不要双击磁盘或是右击选择“打开”，否则你又得再一次打开任务管理器。这时你应该会发现该病毒送你的七个文件：
autorun.bat、autorun.vbs、autorun.bin、autorun.inf、autorun.txt、autorun.reg、autorun.wsh
因为是隐藏的，并且带有系统属性，所以得在文件夹选项中取消隐藏受保护的操作系统文件并选中显示所有文件，果断的把它们请进回收站吧，为了保险，临走时清空一下回收站。如果你有好几个分区，这样手工清除实在是太不方便了，而且要是一不小心双击了盘符，那么此前做的就白费了，所以搜索电脑中的autorun.*文件，包括隐藏文件和系统文件，找到以后，看看它们是不是上边提到的七个中的，如果是，不用说也知道该怎么做了吧~ 一般来说根本不用看，肯定都是病毒文件，最后做好善后工作：
打开注册表，展开到
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

在窗口右侧找到Userinit，双击，发现其值是
userinit.exe,autorun.bat
将,autorun.bat删除，只留下
userinit.exe
至此，病毒被清理干净。
为了大家方便杀毒，我为大家提供两个专杀工具！
使用方法：
1.请按照上面的方法，到注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中，将将,autorun.bat删除，只留下userinit.exe
2.运行一下专杀工具1或专杀工具2就OK了
由于论坛不支持bat文件上传,所以改成txt文件了
请下载的把后缀.txt改成.bat
比如"Autorun专杀工具.txt"改成"Autorun专杀工具.bat"
如果你的电脑现在是在隐藏文件后缀的话,
请在打开的窗口上方  工具--文件夹选项----查看----隐藏已知文件类型的扩展名 前面的框内把√去掉.

另 可下载专杀工具来对付