我在上班的日子

大致上發現該病毒分別存在於c:\windows\system32\inetsrv 和隨身碟根目錄的 recycle 資料夾(裡面有三個檔案，driveinfo.exe   driveinfo.sdc    voinfo.dll)，
而似乎recycle資料夾內的檔案由主機部分的inetsrv控制。

就我的情況，當我把中毒的隨身碟插入並點選圖示要讀取時，病毒會在主機建立c:\windows\system32\inetsrv 資料夾，並藉此控制隨身碟內recycle資料夾內的檔案，然後將driveinfo 寫入電腦的機碼內，甚至將driveinfo.exe複製到C:\windows\system32 裡，然後不知怎的最後讓防毒軟體判斷錯誤，造成存取被拒的情形。

1 先關閉系統還原（我的電腦按右鍵選「內容」，選「系統還原」，打勾「關閉所有磁碟上的系統還原」）

2.讓所有隱藏檔現形，因為上述檔案都是隱藏檔。從開始 -> 設定 -> 控制台 -> 資料夾選項 -> 檢視 -> 在「隱藏檔案或資料夾」這項目中選「顯示所有檔案和資料夾」；「隱藏保護的作業系統檔案(建議使用)」這項把打勾去掉。

3.在插入隨身碟狀況下，雖然不能直接點選，但是在圖示上按右鍵應該可以用檔案總管模式進去。此時若有讓隱藏檔現形，可以發現一個資料夾recycle，以及旁邊的autorun檔案，兩者都直接殺掉。

4.接著我就先卸下隨身碟(因為它內部的毒已經殺掉，剩下主機部分)，然後重新開機到安全模式(重開機後一直按F8)，進去後到c:\windows\system32 將 inetsrv資料夾整個殺掉。

5.然後就是要刪病毒機碼，若有使用regseeker軟體，就直接搜尋 driveinfo，然後將所有相關機碼全刪掉；不然就從 開始→執行→輸入 regedit → 編輯→ 尋找 →搜尋driveinfo，同樣將搜尋出的相關機碼刪除。

  (這一步驟可以回到一般模式進行，或直接在安全模式也可以)

節錄自 ptt / hardware / WeiLover