您的位置：極速下載站→ 資訊首頁 → 軟件教程 → 電腦軟件教程 → 手把手教你清除U盤偽裝文件夾病毒

手把手教你清除U盤偽裝文件夾病毒

時間：2012-07-11 08:26:47 作者：不思議游戲瀏覽量：306

目前，U盤已成為了傳播病毒的主要途徑之一。用戶常見到的一種U盤病毒現(xiàn)象為，U盤中出現(xiàn)一個421KB統(tǒng)一大小的.exe后綴偽裝文件夾，該病毒雙擊可以打開，也可以刪除，但刪除后再刷新可移動磁盤時病毒文件又再出現(xiàn)。因為它與原有的文件夾名稱相同，因此又稱偽裝文件夾病毒。

瑞星安全專家唐威表示，從病毒文件夾刪除后又立即被創(chuàng)建的現(xiàn)象不難看出，系統(tǒng)中正加載著病毒文件，該病毒文件不斷地向U盤寫入文件并命名為“文件夾名.exe”的病毒。當你通過“文件夾選項”顯示隱藏文件時，原有的硬盤文件可以看到（如圖1），但卻無法右鍵修改文件夾的屬性。

顯示所有文件和文件夾

圖1

唐威指出，借助殺毒輔助工具對系統(tǒng)中可疑進程進行排查與刪除是結束這個“罪魁禍首”的最方便的手段。本次手工處理病毒所借助的工具是XueTr，目前支持32位的Windows 2000、XP、2003、Vista、2008和Win7等操作系統(tǒng)，是一款免費的殺毒輔助工具，它可以查看進程模塊、注冊表項、系統(tǒng)啟動項等，并通過一系列的排查工作最終檢測到病毒文件并殺之，功能十分強大，并且操作友好容易上手，是手工殺毒非常好的輔助工具之一。具體操作步驟如下：

1）查找并結束系統(tǒng)中明顯的異常進程winweb.exe，右鍵將其選中，并選擇“結束進行并刪除文件”操作。（如圖2）

結束進程并刪除文件

圖2

2）利用XueTr工具強制刪除U盤中的兩個病毒文件“我的照片.exe”和“辦公文檔.exe”，注意勾選“刪除后阻止文件再生”。（如圖3）

強制刪除

圖3

3）為檢查病毒文件是否還會再生，用XueTr工具對移動磁盤進行刷新操作，這時會發(fā)現(xiàn)，兩個病毒文件又出現(xiàn)了，據(jù)此分析系統(tǒng)中還有殘余的病毒文件仍在加載，并不停地向U盤中創(chuàng)建后綴為.exe的文件夾。為了徹底清除病毒文件，再回到進程中逐一檢查系統(tǒng)當前所有進程下加載的文件后，發(fā)現(xiàn)explorer.exe下掛有可疑模塊iconhandle.dll，且無數(shù)字簽名。（如圖4）

病毒文件

圖4

4）找到該文件所在目錄C:\WINDOWS\system32，并利用“創(chuàng)建日期”排列該目錄下所有文件查看詳細，這時發(fā)現(xiàn)了意外收獲：該目錄下的webad.dll和web.dat兩個文件與iconhandle.dll的創(chuàng)建時間相同，再仔細檢查一下你會發(fā)現(xiàn)web.dat文件大小為421KB，與U盤下的兩個病毒文件夾大小一致！且正常系統(tǒng)中C:\WINDOWS\system32路徑下原本就不存在這三個文件，由此可以推斷三個文件都是由病毒創(chuàng)建，可以全部刪除。（如圖5）

$C:\WINDOWS\system32目錄$