Hola franfis creo este tema iría mejor en el foro de Seguridad.
Cuando no te deja expulsar es porque un proceso tiene acceso a la unidad, en éste caso pueda ser un virus. Para ver que proceso es el que tiene acceso a la unidad usb puede usar "Unlocker", en algunos casos puede eliminar el ejecutable que tiene acceso, aunque sea en un reinicio.
Si no ves los archivos posiblemente estén oculto al sistema, accede al panel de control, opciones de carpeta, ver:
Mostrar todos los archivos y carpetas ocultos.


Posiblemente se haya inyectado a algún proceso, pero creo que se inyectaría mejor en el proceso de explorador de internet o similar.
Revisa si tienes algun proceso extraño al iniciar el sistema con CCleaner o desde "msconfig" (Inicio-Ejecutar).
Puedes postear un log de Hijackthis para ver si hay algo más.


Tal como comentas el problema, éste actua mediante el sistema "autorun" de Windows:
http://es.wikipedia.org/wiki/Autorun

Echa un vistazo a estos temas, hay varias maneras de "Desactivar reproducción automática" de medios extraibles:
http://support.microsoft.com/kb/967715/es
http://windows.microsoft.com/es-ES/windows-vista/Change-AutoPlay-settings
 
Saludos.

Hola de nuevo franfis, buen año.

El ejecutable infectado xxx.exe y el archivo autorun.inf se crean en la raiz de la unidad extraible, como dices al iniciar el sistema que es cuando se carga el malware inyectandose en el proceso explorer.exe. Pueden situarse en cualquier carpeta del disco, normalmente en la carpeta System32 del sistema, pero a veces suele resultar incluso más efectivo meterlo en una carpeta oculta en Usuario\Datos de programas, Usuario\Configuración local.
No tendría que haber diferéncia entre el explorer.exe que se carga al inicar el sistema y el que se crea al reiniciar el proceso, sólo que en este último no infecta la unidad extraible.
Puedes subir un log de Hijackthis?

Si no quieres dar muchas vueltas inicia el PC con el CD de rescate de Kaspersky, casi seguro eliminará lo tengas. Dependiendo de como esté programado poco podrás hacer en modo normal, en algunos casos ya ni en modo seguro.
Link: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Por último comentarte que ante la preséncia de un rootkit desocultar carpetas y archivos no es efectivo, seguirán ocultos mientras el sistema operativo esté en marcha, pro esto te comento pases directamente el live CD.

Espero haberte ayudado mejor esta vez, la primera no estuve muy fino.

Saludos.

Revisa si tienes otro ejecutable en otro ruta diferente con ese nombre.
Aquí te pongo algunos programas para que puedas ver si hay otro archivo involucrado, ya sea .dll o .exe.

Process Monitor: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Process Explorer: http://technet.microsoft.com/en-us/sysinternals/bb896645

ProcNetMonitor: http://securityxploded.com/procnetmonitor.php

DependencyWalker: http://www.dependencywalker.com/

Si quieres puedes descargarte la suite completa de SysInternals, trae otras herramientas te pueden servir:

http://technet.microsoft.com/en-us/sysinternals/bb842062

Si necesitas ver las conexiones que se están realizando:

TCP View: http://technet.microsoft.com/en-us/sysinternals/bb897437

Wireshark: http://www.wireshark.org/download.html

Un saludo.