日期:2014-05-17  浏览次数:20928 次

如何手工处理U盘伪装文件夹病毒
目前,U盘已成为病毒传播的主要途径之一。最近有一种常见的U盘病毒,其现象是在U盘中出现一个421KB大小的后缀为.exe的伪装文件夹,该病毒双击可以打开,也可以删除,但删除后再刷新可移动磁盘时,病毒文件又会再次出现。因为它与原有的文件夹名称相同,因此又叫伪装文件夹病毒,其危害是不断写入占用系统空间的文件,直至系统瘫痪。
  瑞星公司安全专家唐威分析说,从病毒文件夹删除后又被创建的现象不难看出,系统中正加载着病毒文件,该病毒文件不断地向U盘写入文件。当用户通过“文件夹选项”显示隐藏文件时,原有的硬盘文件虽然可以看到,但却无法通过右键修改文件夹的属性。那么,如何处理这种U盘伪装文件夹病毒呢?唐威介绍说,可借助辅助杀毒工具,对系统中可疑进程进行排查,然后删除这个“罪魁祸首”。
  以辅助杀毒工具XueTr为例,目前它可以支持32位的Win2000、WinXP、Win 2003、Vista、Win 2008和Win7等操作系统,是一款免费的杀毒辅助工具,它可以查看进程模块、注册表项和系统启动项等,并通过一系列的排查工作,最终检测到病毒文件并杀之。具体操作步骤如下:
  1.查找并结束系统中明显的异常进程winweb.exe。用鼠标右键将其选中,并选择“结束进程并删除文件”选项。
  2.利用XueTr工具强制删除U盘中的病毒文件,注意勾选“删除后阻止文件再生”选项。
  3.为检查病毒文件是否还会再生,可用XueTr工具对移动磁盘进行刷新操作。如发现病毒文件再次出现,就说明系统中还有残余的病毒文件仍在加载。为了彻底清除病毒文件,再回到进程中逐一检查系统当前所有进程下加载的文件后,会发现explorer.exe下挂有可疑模块iconhandle.dl,且无数字签名。
  4.找到残余病毒文件所在目录C:\WINDOWS\system32,并利用“创建日期”排列该目录下所有文件查看详情,可发现该目录下的webad.dl和web.dat两个文件与iconhandle.dl的创建时间相同,而且web.dat文件的大小也为421KB,与U盘下的病毒文件夹一致,且正常系统中C:\WINDOWS\system32路径下原本就不存在这些文件,由此可以推断这些文件都由病毒创建,可以全部删除。
  5.通过XueTr工具找到可疑文件,全部选中,用鼠标右键点击选择“添加到重启删除”选项,然后重启计算机。
  6.计算机重启后,通过XueTr查看explorer.exe进程下已不再加载icon-handle.dl,并且 C:\WINDOWS\sys-tem32目录下的可疑文件也都不复存在。至此,该U盘病毒才算彻底清理干净。



------解决方案--------------------
u盘也会传播病毒,那现在哪里不会传播啊~
------解决方案--------------------
好久不碰这些了...