Die - mittlerweile per Windows Update behobene - LNK-Schwachstelle war bislang der einzige mir bekannte Fall, in dem der User nicht selbst Schuld am Befall war; d.h. nur in diesem Fall reichte schon das Anstöpseln des Sticks und die Anzeige der Dateien im Explorer.
Bei anderer USB-Malware (z.B. auch dem Conficker damals) wurde fast immer das Autorun-Pop-Up (Dateien in Explorer öffnen, Bilder anzeigen und diese Optionen) verändert, z.B. um einen Eintrag erweitert. Der Autorun selbst führte aber nicht gleich zur Infektion. Vielmehr musste der Nutzer auf den gefälschten Eintrag in eben jenem Autorun-Dialog klicken.
Man muss bedenken: Malware ist immer auf Prozesse angewiesen, von der sie gestartet wird. Nur weil eine infizierte Datei auf einem USB-Stick liegt, überträgt sich nicht gleich eine Infektion auf einen Rechner. Autorun ist deshalb ein Risiko, weil eben hierdurch so ein Prozess gestartet werden kann (indem z.B. eine manipulierte Autorun-Option wie "Bilder anzeigen" nicht die Bilder auf dem Stick anzeigt, sondern eine Datei der Malware ausführt). Meines Wissens ist dazu aber immer die Beteiligung des Users notwendig, indem er auf gefälschte Einträge klickt.
d.h.: Wenn man sich nicht 100%ig sicher ist, dann sollte man den Autorun abschalten bzw. keinen der Einträge im Autorun-Dialog anklicken und den Stick vorher mit einem Virenscanner prüfen. Vernünftige Scanner müssten aber die Manipulation der Autorun-Optionen proaktiv erkennen können; Threatfire z.B. hat sogar eine eigene Regel für diesen Fall.
Andersherum ist es beim Anstöpseln von sauberen USB-Sticks an infizierte Rechner: Auf dem Rechner läuft die Malware schon, d.h. es kann ohne Zutun des Nutzers Malware auf den Stick geschrieben werden (+ die autorun.inf des Sticks wird so geändert, dass im Autorun-Dialog beim nächsten Anstöpseln eine gefälschte Option auftaucht, die beim Anklicken die gespeicherte Malware startet). Gegen dieses Szenario hilft z.B. ein Schreibschutz des Sticks (leider wird Hardware-Schreibschutz immer seltener ...).
Hilft es eigentlich, wenn man einfach die "echte" autorun.inf auf dem Stick schreibschützt? Dann kann die Datei ja auch nicht ersetzt oder von Malware verändert werden?!