[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
  }4 z, ^. g7 l( V6 k& I0 i2 `) g8 A  B8 d
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）* k- g7 I( R2 \7 z! h* x4 u
# r7 C; x$ t6 Y6 ]3 _5 t: z
8 h7 p1 P, P$ s' r( ~
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！% H* Q2 z5 j3 I; X
) S+ P6 H" J! _2 G
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
6 Y2 a4 \9 A% l7 L7 @. M8 Z
8 U+ S+ ?5 c+ ~4 G" E: I3 Q病毒名称：幽灵（ghost）/ ~( D9 B, }  z* P" l

2 a4 B1 ?' E4 n, w4 p病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
! E* l" Z  ], }+ F. L6 E! ?* F5 D' s# C5 `1 y6 c  r/ S( J
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：  l4 ^. A( @2 P% M+ c5 r
  ]: E/ D* g, u' M9 X( X9 T* Z
1、将U盘连接到没有中毒的计算机上。8 H0 H3 M! s6 e
2、使用资源管理器（alt+E）打开U盘。6 |3 h1 a% f8 S. J- O
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。% N2 u& d# j& q3 e, z7 {9 N
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
: e9 K9 P& w/ v3 k* y3 J! G9 e: T5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
* _+ P6 ^9 M# M% l以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
: c- B$ X* [5 a0 F. z# k1 i
9 u7 [' i: ?; n6 }0 H! W' u* K后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
. d1 L  o, ]9 P* O: P' r( a, q0 C
7 Y* ?( x* d! Q# h/ W" V对于后遗症的处理方法如下：
, T/ s" }1 d7 I0 i! f5 f% e2 X4 R
- z# S4 z& ~1 p" I方法一：
9 }! e& Z; }/ u" R* u  N* B0 o6 i1 |* H! w- v
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
/ S6 V  {) m( b8 ]2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。6 g2 {4 h, Y4 Q' T
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
% v& z9 R/ g5 b9 [: |
4 `9 G& `0 y1 S$ A  _( J6 ]方法二：
4 ]0 f# U+ ^8 Q- k  U2 q5 T) o- Q
) e$ k6 l8 O( l0 k7 B2 I- u) A3 a5 n1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）# d+ P3 A) C3 @7 f
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
4 v( K; C' w1 I/ ~3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。1 v4 j+ x' |. x1 M! D
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
- U/ ?# R) j& ]% Z+ \5 r% p9 i% J! j# q7 G- e
到此，该U盘中的幽灵病毒全部清理完成！9 y" p- K+ F! w1 U) L9 \: `

% g* z8 J7 y) [( V9 Y' ~$ F[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊+ f/ s9 z8 p' }9 D
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
0 Z, |' z5 l1 e, S* Z
) K; a% H/ K2 P2 u' o  r3 Y主要是没有中过，有时间发个病毒样本来研究下* ~8 J- ]8 k  v  I4 Q1 a
" E0 Q; G4 g& H8 \3 R% P
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的" B8 N& R& [( f% t6 l1 f5 E
& C% ]/ {1 R. B. s( Z+ T
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
' K  O( D1 j+ l. V2 y4 u" d& S5 e3 a5 R6 E! Y* `

柔肠寸断

对了
' w( z- }% P5 G! q5 d' J) J$ x% u. v# R9 A
问问大家$ t; S- S3 I# ]& J7 o& }

8 }! `9 [( l# x7 y2 T; _; t2 `6 I* h这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
% o3 c) H! w9 o# \! E
1 C* U2 p0 H$ A/ X; n. _$ t5 |9 p+ a6 i4 m
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
) m# Q8 \# y' {+ n9 p, j
. b+ E' Z& z' [. W0 N* l7 S     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）+ _6 B3 @; Y8 |; q0 `  c5 _  ^
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
! E8 S6 x  D) ?6 s, {# d4 `9 E8 {! R7 Y: c* N# ]
==================! ~- t, C/ [+ x8 i4 F, s' L
6 }, C& r+ u7 q( H( `
      pushd g:$ F) y9 c1 r3 b* r1 O
      md autorun.inf                 (新建autorun.inf文件夹)
5 X, p8 |2 u. A       cd autorun.inf                  (进入autorun.inf文件夹)& S) A/ P7 Q/ {
       md abc..\                      （新建免疫目录.文件夹）* n$ D9 c4 G7 G# p
       cd..                                  (回到上一级目录)# x" P; |+ l* y3 e" g
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)) k* O- v7 e# k$ W

5 C* o% L7 S) k( Q: A＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的* W& O/ h! [5 q

3 I; Y6 {5 X- P& S& J2 A我忘记差不多了) w3 p+ {$ y& A
; o/ t6 U  P2 |' k& \# x; C$ k. P( `" }
上次上网找倒的