我是江民達人!!

這幾天看到的隨身碟病毒真的跟以前不一樣，它捨棄了開啟隨身碟就感染的既有模式，也變更了病毒的檔案種類(exe→vbs)，不過其他部份倒都還是老套(原檔案隱藏、新增假捷徑之類的)，習慣開啟隱藏檔可顯示的使用者應該是不會被騙到才對。

廢話不多說，下面直接說解法。

1.先把電腦的資料夾選項改成隱藏檔及副檔名可顯示

我以一支已感染的隨身碟做演示，圖中可以看到相同的檔案名稱會出現兩次，一個沒有副檔名的是捷徑，那是病毒做出來的，而原本的檔案會被隱藏(透明)，而雙擊該捷徑就會去執行其中的ynrhgwssck..vbs這支檔案，你的電腦就中毒了

刪掉捷徑及ynrhgwssck..vbs無效，大約幾秒鐘後就會重生回來(這表示電腦也已經中毒)

2.使用江民防毒內建的系統診斷完全看不出端倪(好像遜掉了，但不用急)

3.習慣上我會使用msconfig去看有什麼程式是電腦開機就會啟動的，這次的案例幾乎都是空的，一點可疑也沒有，但是使用江民的安全專家中的啟動項管理功能卻看到了ynrhgwssck..vbs就在其中，直接點選後刪除啟動項(可以看到檔案位置，真方便)，然後把藏在appdata/使用者/temp中的ynrhgwssck..vbs給刪了(XP下應該是藏在Application Data/user/temp中)

4.ynrhgwssck..vbs其實並無法刪除，因為在電腦啟動的同時，這隻病毒就已經是在執行中，必須先打開工作管理員並點選處理程序標籤，然後找到wscript.exe並將其結束才能順利刪除ynrhgwssck..vbs

5.進入隨身碟把上面看到的捷徑及病毒刪了，這時候可以發現不會再生了

後記:1.因為病毒寫入的啟動項是由江民刪除的，所以不需重新開機就能正常使用

        2.被隱藏的檔案會因為被變更檔案屬性附加系統屬性，所以必須手動把它改回來，請搜尋attrib指令看一下變更教學