Board logo

标题: [原创文章] 对于U盘内永久隐藏文件的处理 [打印本页]

作者: saitojie    时间: 2008-10-11 12:22     标题: 对于U盘内永久隐藏文件的处理

原创作者:saitojie  [3.A.S.T]
/ y7 ?  O2 @' N0 s  f
1 j0 T" N5 B4 K/ I' \/ K- N信息来源:3.A.S.T网络安全团队  (
www.3ast.cn  )  W# P% ]" n* [, f5 a( M9 G9 d2 A

( b  [& l2 S3 ^% N6 q" r! b: ]
( b2 I7 A5 s6 Q% W; x  [; `: a) d  L最近由于工作繁忙所以帖子发的比较少了,在工作中遇到了一个情况,我的学生U盘中毒了,而且是大面积中了这个毒,天天帮学生杀毒,杀得有点累了,不知道坛子里有没有人也在被这个病毒“迫害”,下面说说我的一些处理方法!
( Z% ]4 @2 f( H" {* ~6 T$ [- o0 H
# N$ E; j: |- g5 v" @" }- U% m注意:我的查杀方式仅限于计算机没中毒,但是U盘被病毒感染,如果阁下的计算机也中了该病毒,请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件!6 v) c# z0 C' Y, {- W2 [
& g/ o2 ]/ t7 u  R9 F5 a
病毒名称:幽灵(ghost)4 E+ W( |) C5 B) f' P4 x

; J6 o& \; Q0 q# }( ?5 |# o& v% \病毒现象:U盘内所有文件夹被隐藏,并且在U盘内生成与该文件夹同名的文件,文件图标与文件夹图标相同,后缀为.exe' e" t; R! f* ^9 ]4 W) r4 g1 l

" g7 Q) [5 q: S" V9 D8 A: X如果您的U盘不小心被这个病毒感染,而您又苦于无法将感染的文件夹还原为最开始的情况,请阅读我下面的方法:0 f4 j! Q3 t2 N$ d
+ c3 l4 G1 K2 W% ^! R# I
1、将U盘连接到没有中毒的计算机上。$ F% j# T0 H/ ~7 y3 |$ ^" P
2、使用资源管理器(alt+E)打开U盘。1 m4 m0 Z5 l* Z3 C, H. c
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀,此操作在【工具】-【文件夹选项】-【查看】中完成。
' X4 {( ~8 R& z& p3 R9 x6 M' a4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉6 N$ e* ]) e% U
5、将U盘内所有以.exe结尾,图标为文件夹图标的文件删除掉
) f" d3 j2 ~% n1 _, v以上步骤相信是大家都会的步骤,虽然说这样是将U盘病毒清理干净了,但是病毒留下的后遗症我们并没有解决。
+ j% }; D. a9 i5 y  f) f0 q1 x7 Z) z* J* C1 H$ ~0 _' w8 E# @. \/ V
后遗症现象:U盘内所有文件夹处于隐藏状态,并且对文件夹属性进行编辑,发现【隐藏】选项无法取消。7 G. ^! @! d* r4 L, j& M
! z0 P7 l$ _$ h/ ^* h
对于后遗症的处理方法如下:" s" B* Y- @  o* E
, P- P/ {2 ^$ m* X* }- B& i
方法一:
# G  A1 a* R6 t6 w% ?6 B% n/ j5 ?; p0 A' a1 O4 i' l
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
0 j) p+ H  l' Z" A5 w% }7 a2、进入命令行输入如下命令:
  1. d:
  2. attrib /s /d -h -s *
复制代码
发现文件夹属性正常。0 T9 h- h% Z7 V, m! q6 E
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内,后遗症就没有了!: x, `9 L" q# e) a

- q" m5 W% X% ]- B# F# s方法二:+ b8 Y. [1 v7 P( R* \) ~2 h

! Q# w0 \5 _- u$ W+ I2 e1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解); Y+ F5 T: D* ^0 x
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】,任意选择一个图标之后确定。' h' Q* U$ E# ?' T; ~) |
3、再去查看文件夹属性,发现【隐藏】属性可以去掉了。3 w& d1 B- J# g* A% K+ m# \, _
4、按照上面的方法对每个文件夹进行相同操作,操作完成后,再将所有文件夹剪切回U盘即可。
8 H4 a- X+ ~) Z2 x3 S/ {0 u$ ?$ F4 a
到此,该U盘中的幽灵病毒全部清理完成!4 h) z1 E6 K% R& \

9 o+ V( j% E2 V[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]
作者: wmmy    时间: 2008-10-11 12:40

直接用软件对U盘免于啊
* T* w2 }7 a1 m# N) V; y问个问题我U盘里面这个文件autorun.inf不删除没有问题吧
作者: 柔肠寸断    时间: 2008-10-11 12:42

这就是昨晚群聊时说的幽灵病毒啊,我来看看文章先$ G/ |* {& ]: p5 R# c
4 e( r) Y/ K. v# x5 F& F0 R7 i1 q$ F
主要是没有中过,有时间发个病毒样本来研究下  J1 @) i% i4 I* g# G% u% \) @

7 Y0 G3 q8 X5 }# Y还有就是连接没有病毒计算机的时候注意不能自动运行,而且要是安装了360的话,360会直接检测到autorun文件的
3 _7 L* B& l+ ^7 e4 q1 J+ J7 D7 J9 q
并且直接删除autorun
作者: saitojie    时间: 2008-10-11 12:42

那要看你的autorun.inf里面的内容咯
作者: juchong    时间: 2008-10-11 14:26

以前也经常碰到这样的毒,后来用了USBCleaner这款软件,就好了:) :) :)
作者: wmmy    时间: 2008-10-11 14:37     标题: 回复 4楼 saitojie 的帖子

z这个是我U盘里面的文件那个MAYI.是我自己搞的, 汗  忘记删除的命令了
2 s( f7 ]( O, I/ u/ @0 v7 S
& N  b, T- Z( X% x[attach]543[/attach]
作者: 柔肠寸断    时间: 2008-10-11 14:55

对了
. \# z( u3 H9 b! Z
4 {) |+ e- c& C- t4 S* K问问大家
& X9 o/ n4 P3 X5 D5 s% E3 {& ~) h/ a( d3 v7 p
这种免疫的 文件夹 是怎么建立的??我忘记了??
作者: 柔肠寸断    时间: 2008-10-11 18:12

知道了,方法是这样的" ~+ F: M9 s* y8 g) `) z& R

1 v, `5 y) B/ Y. p6 W$ S6 A1 f0 q6 P' m& O
有一些高级、智能一点的木马,会删除你的感染文件或者目录。为此,可以创建一个同名的特殊目录,并且在目录下创建几个带..的目录:
, W2 M  y7 c$ d# S: s; M. e3 O
# ^9 R% R/ X9 c) s: y" h     在开始菜单运行里面输入cmd,输入下面命令(括号是注释,不要运行)
4 T2 A5 u: i- E4 W! t  @+ B     假设 g盘免疫 (g对应u盘在电脑上的盘符)
* L: a7 L( |  Y( F& `, A2 v: X6 q+ S. x, [4 \& l$ g) q; l
==================
% l7 J9 r9 N: \- w0 [
, D4 [- d5 r2 D9 K4 m7 b0 z0 g      pushd g:
: p5 r% M) G" b; K5 p" S! o      md autorun.inf                 (新建autorun.inf文件夹)6 k. k8 J3 s- P8 Q3 [3 i3 \, s
       cd autorun.inf                  (进入autorun.inf文件夹)
0 \2 _% H9 p. V+ X/ _7 F, y       md abc..\                      (新建免疫目录.文件夹)
. Q! _/ j! _/ F: A: B6 N       cd..                                  (回到上一级目录)
- f/ j8 m1 M9 S" V/ K# j        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性,或者按步骤1设置权限)6 g* [+ K1 u! P8 y$ a

6 ]/ p2 W1 C2 ?) R: X% d===================
作者: saitojie    时间: 2008-10-12 00:56

删除的命令好像是
  1. rd mayi..\
复制代码
记得有个隐藏的强制删除的命令的,不过现在忘记了,你看看在最后加上参数/F或者/X看看
作者: 柔肠寸断    时间: 2008-10-12 07:58     标题: 回复 9楼 saitojie 的帖子

对,就是这样的4 J, ], H, a8 }. u0 ~( s6 D5 I
& H' l6 U# U# }4 F- z
我忘记差不多了
/ F) D3 {' P& p: F! ?% L3 y3 N, S" f6 {9 `7 ]6 N& d7 E
上次上网找倒的




欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./) Powered by Discuz! 7.2