利用XueTr强制删除可疑文件夹
2) 利用XueTr工具强制删除U盘中的两个病毒文件“我的照片.exe”和“办公文档.exe”,注意勾选“删除后阻止文件再生”。(如图3)
图3
3) 为检查病毒文件是否还会再生,用XueTr工具对移动磁盘进行刷新操作,这时会发现,两个病毒文件又出现了,据此分析系统中还有残余的病毒文件仍在加载,并不停地向U盘中创建后缀为.exe的文件夹。为了彻底清除病毒文件,再回到进程中逐一检查系统当前所有进程下加载的文件后,发现explorer.exe下挂有可疑模块iconhandle.dll,且无数字签名。(如图4)
图4
4) 找到该文件所在目录C:WINDOWSsystem32,并利用“创建日期”排列该目录下所有文件查看详细,这时发现了意外收获:该目录下的webad.dll和web.dat两个文件与iconhandle.dll的创建时间相同,再仔细检查一下你会发现web.dat文件大小为421KB,与U盘下的两个病毒文件夹大小一致!且正常系统中C:WINDOWSsystem32路径下原本就不存在这三个文件,由此可以推断三个文件都是由病毒创建,可以全部删除。(如图5)
图5
5)右键点击explorer.exe下加载的iconhandle.dll,将其全局卸载。(如图6)
图6
注:由于iconhandle.dll挂在explorer.exe进程下,全局卸载的时候explorer.exe进程会重启,属于正常现象,不必担心。
网友评论