手工處理U盤(pán)偽裝文件夾病毒教程：U盤(pán)中病毒，這是常有的事了，現(xiàn)在用U盤(pán)來(lái)傳播病毒是病毒傳播的主要途徑之一。綠茶小編也挺郁悶的，朋友的一個(gè)U盤(pán)中了病毒，然后來(lái)小路的電腦上拷貝東西，順帶電腦也中毒了~。用戶(hù)常見(jiàn)到的一種U盤(pán)病毒現(xiàn)象為，U盤(pán)中出現(xiàn)一個(gè)421KB統(tǒng)一大小的.exe后綴偽裝文件夾，該病毒雙擊可以打開(kāi)，也可以刪除，但刪除后再刷新可移動(dòng)磁盤(pán)時(shí)病毒文件又再出現(xiàn)。因?yàn)樗c原有的文件夾名稱(chēng)相同，因此又稱(chēng)偽裝文件夾病毒。

瑞星安全專(zhuān)家唐威表示，從病毒文件夾刪除后又立即被創(chuàng)建的現(xiàn)象不難看出，系統(tǒng)中正加載著病毒文件，該病毒文件不斷地向U盤(pán)寫(xiě)入文件并命名為“文件夾名.exe”的病毒。當(dāng)你通過(guò)“文件夾選項(xiàng)”顯示隱藏文件時(shí)，原有的硬盤(pán)文件可以看到，但卻無(wú)法右鍵修改文件夾的屬性。

唐威指出，借助殺毒輔助工具對(duì)系統(tǒng)中可疑進(jìn)程進(jìn)行排查與刪除是結(jié)束這個(gè)“罪魁禍?zhǔn)住钡淖罘奖愕氖侄巍?/span>

本次手工處理病毒所借助的工具是XueTr，目前支持32位的Windows 2000、XP、2003、Vista、2008和Win7等操作系統(tǒng)，是一款免費(fèi)的殺毒輔助工具，它可以查看進(jìn)程模塊、注冊(cè)表項(xiàng)、系統(tǒng)啟動(dòng)項(xiàng)等，并通過(guò)一系列的排查工作最終檢測(cè)到病毒文件并殺之，功能十分強(qiáng)大，并且操作友好容易上手，是手工殺毒非常好的輔助工具之一。

具體操作步驟如下：

一、查找并結(jié)束系統(tǒng)中明顯的異常進(jìn)程winweb.exe，右鍵將其選中，并選擇“結(jié)束進(jìn)行并刪除文件”操作。

二、利用XueTr工具強(qiáng)制刪除U盤(pán)中的兩個(gè)病毒文件“我的照片.exe”和“辦公文檔.exe”，注意勾選“刪除后阻止文件再生”。

三、為檢查病毒文件是否還會(huì)再生，用XueTr工具對(duì)移動(dòng)磁盤(pán)進(jìn)行刷新操作，這時(shí)會(huì)發(fā)現(xiàn)，兩個(gè)病毒文件又出現(xiàn)了，據(jù)此分析系統(tǒng)中還有殘余的病毒文件仍在加載，并不停地向U盤(pán)中創(chuàng)建后綴為.exe的文件夾。為了徹底清除病毒文件，再回到進(jìn)程中逐一檢查系統(tǒng)當(dāng)前所有進(jìn)程下加載的文件后，發(fā)現(xiàn)explorer.exe下掛有可疑模塊iconhandle.dll，且無(wú)數(shù)字簽名。

四、找到該文件所在目錄C:\WINDOWS\system32，并利用“創(chuàng)建日期”排列該目錄下所有文件查看詳細(xì)，這時(shí)發(fā)現(xiàn)了意外收獲：該目錄下的webad.dll和web.dat兩個(gè)文件與iconhandle.dll的創(chuàng)建時(shí)間相同，再仔細(xì)檢查一下你會(huì)發(fā)現(xiàn)web.dat文件大小為421KB，與U盤(pán)下的兩個(gè)病毒文件夾大小一致!

且正常系統(tǒng)中C:\WINDOWS\system32路徑下原本就不存在這三個(gè)文件，由此可以推斷三個(gè)文件都是由病毒創(chuàng)建，可以全部刪除。

五、右鍵點(diǎn)擊explorer.exe下加載的iconhandle.dll，將其全局卸載。

注：由于iconhandle.dll掛在explorer.exe進(jìn)程下，全局卸載的時(shí)候explorer.exe進(jìn)程會(huì)重啟，屬于正常現(xiàn)象，不必?fù)?dān)心。

六、通過(guò)XueTr工具找到上述三個(gè)可疑文件，全部選中，右鍵點(diǎn)擊選擇“添加到重啟刪除”操作，然后立即重啟計(jì)算機(jī)。

計(jì)算機(jī)重啟后需要進(jìn)行最后的檢查工作，通過(guò)XueTr查看explorer.exe進(jìn)程下已不再加載iconhandle.dll，并且C:\WINDOWS\system32目錄下的三個(gè)可疑文件都不復(fù)存在，明顯的病毒跡象已不再?gòu)?fù)現(xiàn)，再次嘗試刪除U盤(pán)下的“我的照片.exe”和“辦公文檔.exe”會(huì)發(fā)現(xiàn)病毒文件夾不會(huì)再次生成了。

如此看來(lái)該U盤(pán)病毒算是清理干凈了，但是原有的文件夾系統(tǒng)屬性仍為隱藏且無(wú)法修改，那么還得進(jìn)行手工殺毒后的善后操作，此處可通過(guò)attrib指令修改文件夾系統(tǒng)屬性，方法如下：

1- 點(diǎn)擊“開(kāi)始”→“運(yùn)行”，輸入“cmd”后回車(chē)打開(kāi)DOS窗口

2- 由于當(dāng)前U盤(pán)在系統(tǒng)中所處盤(pán)符標(biāo)志為E盤(pán)，故在命令行中輸入“e：”，然后回車(chē)

3- 繼續(xù)在命令行輸入“attrib /s /d –s -h”后回車(chē)，待命令運(yùn)行完后再查看一下E盤(pán)下的文件夾圖標(biāo)都恢復(fù)正常了

病毒并不是那么可怕，只要我們掌握了方法~動(dòng)起你的手趕走病毒吧~