标题:
[原创文章]
对于U盘内永久隐藏文件的处理
[打印本页]
作者:
saitojie
时间:
2008-10-11 12:22
标题:
对于U盘内永久隐藏文件的处理
原创作者:saitojie [3.A.S.T]
/ y7 ? O2 @' N0 s f
1 j0 T" N5 B4 K/ I' \/ K- N
信息来源:3.A.S.T网络安全团队 (
www.3ast.cn
)
W# P% ]" n* [, f5 a( M9 G9 d2 A
( b [& l2 S3 ^% N6 q" r! b: ]
( b2 I7 A5 s6 Q% W; x [; `: a) d L
最近由于工作繁忙所以帖子发的比较少了,在工作中遇到了一个情况,我的学生U盘中毒了,而且是大面积中了这个毒,天天帮学生杀毒,杀得有点累了,不知道坛子里有没有人也在被这个病毒“迫害”,下面说说我的一些处理方法!
( Z% ]4 @2 f( H" {* ~6 T$ [- o0 H
# N$ E; j: |- g5 v" @" }- U% m
注意:我的查杀方式仅限于计算机没中毒,但是U盘被病毒感染,如果阁下的计算机也中了该病毒,请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件!
6 v) c# z0 C' Y, {- W2 [
& g/ o2 ]/ t7 u R9 F5 a
病毒名称:幽灵(ghost)
4 E+ W( |) C5 B) f' P4 x
; J6 o& \; Q0 q# }( ?5 |# o& v% \
病毒现象:U盘内所有文件夹被隐藏,并且在U盘内生成与该文件夹同名的文件,文件图标与文件夹图标相同,后缀为.exe
' e" t; R! f* ^9 ]4 W) r4 g1 l
" g7 Q) [5 q: S" V9 D8 A: X
如果您的U盘不小心被这个病毒感染,而您又苦于无法将感染的文件夹还原为最开始的情况,请阅读我下面的方法:
0 f4 j! Q3 t2 N$ d
+ c3 l4 G1 K2 W% ^! R# I
1、将U盘连接到没有中毒的计算机上。
$ F% j# T0 H/ ~7 y3 |$ ^" P
2、使用资源管理器(alt+E)打开U盘。
1 m4 m0 Z5 l* Z3 C, H. c
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀,此操作在【工具】-【文件夹选项】-【查看】中完成。
' X4 {( ~8 R& z& p3 R9 x6 M' a
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
6 N$ e* ]) e% U
5、将U盘内所有以.exe结尾,图标为文件夹图标的文件删除掉
) f" d3 j2 ~% n1 _, v
以上步骤相信是大家都会的步骤,虽然说这样是将U盘病毒清理干净了,但是病毒留下的后遗症我们并没有解决。
+ j% }; D. a9 i5 y f) f0 q1 x
7 Z) z* J* C1 H$ ~0 _' w8 E# @. \/ V
后遗症现象:U盘内所有文件夹处于隐藏状态,并且对文件夹属性进行编辑,发现【隐藏】选项无法取消。
7 G. ^! @! d* r4 L, j& M
! z0 P7 l$ _$ h/ ^* h
对于后遗症的处理方法如下:
" s" B* Y- @ o* E
, P- P/ {2 ^$ m* X* }- B& i
方法一:
# G A1 a* R6 t6 w% ?6 B% n
/ j5 ?; p0 A' a1 O4 i' l
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
0 j) p+ H l' Z" A5 w% }7 a
2、进入命令行输入如下命令:
d:
attrib /s /d -h -s *
复制代码
发现文件夹属性正常。
0 T9 h- h% Z7 V, m! q6 E
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内,后遗症就没有了!
: x, `9 L" q# e) a
- q" m5 W% X% ]- B# F# s
方法二:
+ b8 Y. [1 v7 P( R* \) ~2 h
! Q# w0 \5 _- u$ W+ I2 e
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
; Y+ F5 T: D* ^0 x
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】,任意选择一个图标之后确定。
' h' Q* U$ E# ?' T; ~) |
3、再去查看文件夹属性,发现【隐藏】属性可以去掉了。
3 w& d1 B- J# g* A% K+ m# \, _
4、按照上面的方法对每个文件夹进行相同操作,操作完成后,再将所有文件夹剪切回U盘即可。
8 H4 a- X+ ~) Z2 x
3 S/ {0 u$ ?$ F4 a
到此,该U盘中的幽灵病毒全部清理完成!
4 h) z1 E6 K% R& \
9 o+ V( j% E2 V
[
本帖最后由 3ast 于 2008-10-14 20:26 编辑
]
作者:
wmmy
时间:
2008-10-11 12:40
直接用软件对U盘免于啊
* T* w2 }7 a1 m# N) V; y
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧
作者:
柔肠寸断
时间:
2008-10-11 12:42
这就是昨晚群聊时说的幽灵病毒啊,我来看看文章先
$ G/ |* {& ]: p5 R# c
4 e( r) Y/ K. v# x5 F& F0 R7 i1 q$ F
主要是没有中过,有时间发个病毒样本来研究下
J1 @) i% i4 I* g# G% u% \) @
7 Y0 G3 q8 X5 }# Y
还有就是连接没有病毒计算机的时候注意不能自动运行,而且要是安装了360的话,360会直接检测到autorun文件的
3 _7 L* B& l+ ^7 e4 q
1 J+ J7 D7 J9 q
并且直接删除autorun
作者:
saitojie
时间:
2008-10-11 12:42
那要看你的autorun.inf里面的内容咯
作者:
juchong
时间:
2008-10-11 14:26
以前也经常碰到这样的毒,后来用了USBCleaner这款软件,就好了:) :) :)
作者:
wmmy
时间:
2008-10-11 14:37
标题:
回复 4楼 saitojie 的帖子
z这个是我U盘里面的文件那个MAYI.是我自己搞的, 汗 忘记删除的命令了
2 s( f7 ]( O, I/ u/ @0 v7 S
& N b, T- Z( X% x
[attach]543[/attach]
作者:
柔肠寸断
时间:
2008-10-11 14:55
对了
. \# z( u3 H9 b! Z
4 {) |+ e- c& C- t4 S* K
问问大家
& X9 o/ n4 P3 X5 D5 s% E
3 {& ~) h/ a( d3 v7 p
这种免疫的 文件夹 是怎么建立的??我忘记了??
作者:
柔肠寸断
时间:
2008-10-11 18:12
知道了,方法是这样的
" ~+ F: M9 s* y8 g) `) z& R
1 v, `5 y) B/ Y. p6 W$ S
6 A1 f0 q6 P' m& O
有一些高级、智能一点的木马,会删除你的感染文件或者目录。为此,可以创建一个同名的特殊目录,并且在目录下创建几个带..的目录:
, W2 M y7 c$ d# S: s; M. e3 O
# ^9 R% R/ X9 c) s: y" h
在开始菜单运行里面输入cmd,输入下面命令(括号是注释,不要运行)
4 T2 A5 u: i- E4 W! t @+ B
假设 g盘免疫 (g对应u盘在电脑上的盘符)
* L: a7 L( | Y( F& `, A
2 v: X6 q+ S. x, [4 \& l$ g) q; l
==================
% l7 J9 r9 N: \- w0 [
, D4 [- d5 r2 D9 K4 m7 b0 z0 g
pushd g:
: p5 r% M) G" b; K5 p" S! o
md autorun.inf (新建autorun.inf文件夹)
6 k. k8 J3 s- P8 Q3 [3 i3 \, s
cd autorun.inf (进入autorun.inf文件夹)
0 \2 _% H9 p. V+ X/ _7 F, y
md abc..\ (新建免疫目录.文件夹)
. Q! _/ j! _/ F: A: B6 N
cd.. (回到上一级目录)
- f/ j8 m1 M9 S" V/ K# j
attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性,或者按步骤1设置权限)
6 g* [+ K1 u! P8 y$ a
6 ]/ p2 W1 C2 ?) R: X% d
===================
作者:
saitojie
时间:
2008-10-12 00:56
删除的命令好像是
rd mayi..\
复制代码
记得有个隐藏的强制删除的命令的,不过现在忘记了,你看看在最后加上参数/F或者/X看看
作者:
柔肠寸断
时间:
2008-10-12 07:58
标题:
回复 9楼 saitojie 的帖子
对,就是这样的
4 J, ], H, a8 }. u0 ~( s6 D5 I
& H' l6 U# U# }4 F- z
我忘记差不多了
/ F) D3 {' P& p: F! ?% L3 y3 N
, S" f6 {9 `7 ]6 N& d7 E
上次上网找倒的
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2