手工處理U盤偽裝文件夾病毒教程

　　U盤中病毒，這是常有的事了，現在用U盤來傳播病毒是病毒傳播的主要途徑之一。綠茶小編也挺郁悶的，朋友的一個U盤中了病毒，然後來綠茶小編的電腦上拷貝東西，順帶電腦也中毒了~。用戶常見到的一種U盤病毒現象為，U盤中出現一個421KB統一大小的.exe後綴偽裝文件夾，該病毒雙擊可以打開，也可以刪除，但刪除後再刷新可移動磁盤時病毒文件又再出現。因為它與原有的文件夾名稱相同，因此又稱偽裝文件夾病毒。

　　瑞星安全專家唐威表示，從病毒文件夾刪除後又立即被創建的現象不難看出，系統中正加載著病毒文件，該病毒文件不斷地向U盤寫入文件並命名為“文件夾名.exe”的病毒。當你通過“文件夾選項”顯示隱藏文件時，原有的硬盤文件可以看到，但卻無法右鍵修改文件夾的屬性。

　　唐威指出，借助殺毒輔助工具對系統中可疑進程進行排查與刪除是結束這個“罪魁禍首”的最方便的手段。

　　本次手工處理病毒所借助的工具是XueTr，目前支持32位的Windows 2000、XP、2003、Vista、2008和Win7等操作系統，是一款免費的殺毒輔助工具，它可以查看進程模塊、注冊表項、系統啟動項等，並通過一系列的排查工作最終檢測到病毒文件並殺之，功能十分強大，並且操作友好容易上手，是手工殺毒非常好的輔助工具之一。

　　具體操作步驟如下：

　　一、查找並結束系統中明顯的異常進程winweb.exe，右鍵將其選中，並選擇“結束進行並刪除文件”操作。

　　二、利用XueTr工具強制刪除U盤中的兩個病毒文件“我的照片.exe”和“辦公文檔.exe”，注意勾選“刪除後阻止文件再生”。

　　三、為檢查病毒文件是否還會再生，用XueTr工具對移動磁盤進行刷新操作，這時會發現，兩個病毒文件又出現了，據此分析系統中還有殘余的病毒文件仍在加載，並不停地向U盤中創建後綴為.exe的文件夾。為了徹底清除病毒文件，再回到進程中逐一檢查系統當前所有進程下加載的文件後，發現explorer.exe下掛有可疑模塊iconhandle.dll，且無數字簽名。