[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
- D2 X4 k, l$ w! C, X  O. D' X# g9 W; z# q3 S
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
% B2 u. d& \6 L9 g# f4 B$ c' \' r1 F7 ^1 F

! ^; F) w# h! |最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
3 T( \# @4 v1 ~% i( X: S4 t$ Z5 v/ l1 ~; F0 K; U
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
4 v' E$ Z! `2 Q" O( j2 E2 L: b) u( P
病毒名称：幽灵（ghost）
: N0 c- z; m6 J. N5 f
& a0 W6 j, y' {8 Q! U5 u* o病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe6 t4 {. m- ?& E# Z! h$ ~

3 N/ e* ]" K' ?  q如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
9 u9 F1 r. m8 q* C3 }! ?* `# x5 z, S
1、将U盘连接到没有中毒的计算机上。
" r/ z; h; J" R! @% {2、使用资源管理器（alt+E）打开U盘。# j* |( g+ e1 X5 s% g
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
8 w7 ^- b6 H2 d. |4 r) W4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
4 s  q1 W( h  N5 g9 S5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
# i' v# t8 H- j, I* C+ \以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
  x8 j7 b& E0 k* }/ z! }
: i) i, p0 M% m后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。6 L( O! l  I. p) J* z9 H% |- h
2 E% |) x: b5 ~
对于后遗症的处理方法如下：
& q# [' c8 ~2 h: `8 K/ h4 C) w5 E) l' Z! j. ~; H- G
方法一：
2 w. h9 A9 j: o$ Y5 ?  I+ R6 F! j8 D/ W
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）- w" X- `- s0 {7 @4 v
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
: R6 Y0 P  O* ]+ i3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
" P# ~: q2 ~- E8 b2 u- \" {  [/ C7 P0 M, u# {: D  v$ e! x4 N
方法二：
& w1 T- p+ G5 r% R# \6 W1 A; A
7 n+ b* f& k  [& U! P  p# I1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）- f9 j) T% b# j) Z' t
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
8 O' Y( j! f  V& `3 {3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
& L$ ]; g, E0 x% P6 |) j* m: s; ~0 P4 i4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
+ E4 C9 O. K6 M7 x" t2 l$ \- M* o( _* B+ z
到此，该U盘中的幽灵病毒全部清理完成！
- s, p: H, b  H
) L8 G5 u" U$ V, l6 X[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊# ]$ M' [( g& }8 E' D7 G
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先7 j. g" K! m+ D* f" S0 K

" z/ C+ e8 i" E主要是没有中过，有时间发个病毒样本来研究下1 }" @  L* e$ ]9 ^
! `& q. w0 M) Q
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的, `7 t- a0 o) d" `5 z
# r- F# R" N/ t$ d* B3 H
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
" u5 i& C4 u" R/ Z1 F# g" C7 X5 A& n- i6 b! e) C9 _. \; @  F1 I9 C

柔肠寸断

对了+ s" A# o% S. |- t! e/ b" X2 g2 m$ E

0 v. b: ^8 K0 N问问大家
+ ^4 h! V0 y+ X
3 g2 v: w1 Z* N这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
+ _4 u6 U- F8 b. C( P1 v6 c
+ C$ L. \% W3 J8 ?% Y: d- \" O" m/ G5 |- f$ {% O8 @
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：$ x) z* {  T! L" M
7 U3 x7 e1 |+ k/ ?, S. D' K* V
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
4 @1 \/ v" [0 r; }* o     假设 g盘免疫 (g对应u盘在电脑上的盘符)0 v# ^6 \; f' a1 p: G
0 |+ o* Z3 W# [4 N+ F1 j9 S, R
==================
: n# \2 E$ m" V( \- C$ \& @
; R7 u- W& K) D      pushd g:
1 x% o1 B5 V, ~2 J; B$ f      md autorun.inf                 (新建autorun.inf文件夹)
  F$ _. p. f- H8 V' S2 ~       cd autorun.inf                  (进入autorun.inf文件夹)
& H$ n; _( u' O# b% L: ^       md abc..\                      （新建免疫目录.文件夹）0 b' q1 F. N* k4 `4 M& N0 }
       cd..                                  (回到上一级目录)2 r! A7 N1 G+ B! N1 y! ^
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
! c7 ^# Y5 }% m1 S. I! ~
, m" }0 p/ I: s  @3 B; c! }＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的% X% D. {/ ]) j$ }3 J1 G5 X( J
) g; q6 [- U6 P2 a7 {6 p
我忘记差不多了7 d) u% O- Q8 a

( V. R1 x  X: Q上次上网找倒的