這個病毒讓我搞了好久, 測試過手邊的防毒軟體都無法掃描到(趨勢,360,McAfee等)
原來他不算是病毒...?
某天, 有個USER拿了隨身碟來找我, 說隨身碟怪怪的, 每次都要再點一次隨身碟才能讀資料..
接上我的電腦後, 看到的畫面如下
圖一

USER只看到一個隨身碟的捷徑,
只要點選捷徑, 仍然可以正常存取原本隨身碟中的檔案或資料夾,
大家看到這, 可能會認為是Autorun.ini 在作怪,但其實不是,
這個Autorun.ini是特別安裝防毒軟體種的防護, 接到我的電腦並不會自動執行,

嘗試解毒動作

1. 刪除該捷徑目的端的執行程式(src)
2. REGEDIT 打開 RUN 資料夾, 發現沒有相關的資料
3. 刪除除了隱藏資料夾以外的資料(該隱藏資料夾是"沒有名稱的")
4. 把隱藏資料夾內的資料都撈回到隨身碟根目錄下
5. 刪除隱藏資料夾
   重新把隨身碟拔除後重新開機,
   開機後把隨身碟接上電腦,
   果然又再次發生...,此時使用趨勢,360等防毒軟體掃描病毒及木馬都無法找到病毒,
   使用REGEDIT去看RUN卻又沒有相關病毒的程式執行..
   就在摸不著頭緒下, 亂找了一通後發現一個有趣的狀況,

再登錄檔中發現到, 有一個不常見的地方放了這一個算是病毒的捷徑

可以發現到, 它是寫在 policeies 底下...
(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policeies\explorer\Run)
原來它是屬於"規則",所以她不需要常駐在記憶體中, 只要有USB插入, WINDOWS就會"依規則"去跑這個SCR...

最後做法,
如上述解毒方法後, 再把登錄檔中的policeies\explorer\Run清空(基本上RUN是病毒建立的)
解決了這個問題.

以上病毒解決步驟供大家參考