心築

插入隨身碟後，點選磁碟機 防毒軟體 會發現

C:\windows\system32\driveinfo.exe

是木馬程式 Trojan-Dropper.Win32.Delf.wj

事實上在 c:\windows\system32 裡頭根本找不到 driveinfo.exe， 

而是躲在隨身碟的 Recycled 目錄下，裡面有三個檔案，分別是：
 
driveinfo.exe
driveinfo.sdc
voinfo.dll 

另外在隨身碟的根目錄會新增一個檔案 autorun.inf，
內容是： 
[AutoRun] 
Open=.\Recycled\Driveinfo.exe 
Shell\Open\Command=.\Recycled\Driveinfo.exe 

方法一：
上面這幾個檔案不管怎麼砍都砍不掉，
建議是把這個 process 停掉後，
砍掉隨身碟上的檔案，
另外也將 c:\windows\system32\inetsrv.* 砍掉，
再清掉 registery 裡頭有 "driveinfo" 字樣的檔案，
另外補充一點，建議隨身碟接上 PC 後，不要用點選磁碟機的方式，
使用檔案總管展開，就不會執行 inetsrv.exe，
這個時候將 Recycled 、 autorun.inf 和 
/system32/inetsrv.exe 刪除即可。 
注意，要取消隱藏保護的作業系統檔案，才看的到檔案。
通常各檔案夾是隱藏保護的，依下列步驟可以讓他現形：
檔案總管>>工具>>資料夾選項>>檢視>>
隱藏藏已知檔案類型的副檔名-----------(不要打勾) 
隱藏保護的作業系統-----------(不要打勾) 
顯示所有的檔案和資料夾-----(打勾)
開啟檔案總管，依路徑應該可以找到

方法二：

一、在電腦的部分

1.開啟工作管理員，將 inetsrv.exe 這個服務停止
2.搜尋系統所在磁碟（通常是C磁碟），將 inetsrv 有關的東西都找出來刪掉吧
3.執行 regedit，將所有有關 inetsrv 以及 driveinfo 的機碼全部刪除

二、在隨身碟的部分

driveinfo.exe比較特別的一點，
就是這個執行檔不會存在電腦中，
而是固定放在隨身碟的recycled 資料夾中
因此......

1.直接格式化隨身碟當然是可以把他刪除
2.若想保留其他資料，請以「檔案總管」方式開啟隨身碟
將根目錄的autorun.ini以及recycled
資料夾中的driveinfo.exe刪除。