标题:
[原创文章]
对于U盘内永久隐藏文件的处理
[打印本页]
作者:
saitojie
时间:
2008-10-11 12:22
标题:
对于U盘内永久隐藏文件的处理
原创作者:saitojie [3.A.S.T]
+ t' I5 J/ K" b8 q
5 _ |8 t' B( j. `
信息来源:3.A.S.T网络安全团队 (
www.3ast.cn
)
; R" I! v+ F2 H. q" j7 A
# B6 D5 E' l& {9 C m) w
! Y1 S# k8 M# E% z+ V" S8 b1 P& P
最近由于工作繁忙所以帖子发的比较少了,在工作中遇到了一个情况,我的学生U盘中毒了,而且是大面积中了这个毒,天天帮学生杀毒,杀得有点累了,不知道坛子里有没有人也在被这个病毒“迫害”,下面说说我的一些处理方法!
) n1 I0 B* h4 L
& g0 z. s$ k7 K7 }& B! e, @' i
注意:我的查杀方式仅限于计算机没中毒,但是U盘被病毒感染,如果阁下的计算机也中了该病毒,请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件!
0 |, }2 w) [- ~* m' t; a
$ P( r7 Y$ i0 B: c3 K+ H7 A& f1 e
病毒名称:幽灵(ghost)
; n, }$ K2 }# `' z! k9 g
& c5 k4 N% S$ u% _ A# C0 {
病毒现象:U盘内所有文件夹被隐藏,并且在U盘内生成与该文件夹同名的文件,文件图标与文件夹图标相同,后缀为.exe
1 L+ N' Y+ h w
3 @" |9 g$ o5 I
如果您的U盘不小心被这个病毒感染,而您又苦于无法将感染的文件夹还原为最开始的情况,请阅读我下面的方法:
* B6 u& U [3 K% X
$ Q+ [! Q; B$ n
1、将U盘连接到没有中毒的计算机上。
+ o" R% c H; ^. ]# d4 y
2、使用资源管理器(alt+E)打开U盘。
' I( s! |1 L: N3 R1 l
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀,此操作在【工具】-【文件夹选项】-【查看】中完成。
: {. K9 u- _0 B( m
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
) k3 e }& e6 x0 h
5、将U盘内所有以.exe结尾,图标为文件夹图标的文件删除掉
* K5 s; h+ E" b2 y% s
以上步骤相信是大家都会的步骤,虽然说这样是将U盘病毒清理干净了,但是病毒留下的后遗症我们并没有解决。
) _0 x3 X4 v' N3 s3 @" }
) `% Y* k4 z( ]0 A6 j
后遗症现象:U盘内所有文件夹处于隐藏状态,并且对文件夹属性进行编辑,发现【隐藏】选项无法取消。
/ ?$ K6 Z- A# J7 v; i
; k! w8 a! C( V6 W! c6 n
对于后遗症的处理方法如下:
4 R- Y% |- T9 c! C' @
- \8 |* ^" L1 `. Y- G; s+ F
方法一:
$ H; A5 v/ j$ B. T8 ]1 S
! D+ ?9 R1 K, ?5 ^/ L7 X0 Z/ X
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
3 H M, s. _% a: P. m8 J q
2、进入命令行输入如下命令:
d:
attrib /s /d -h -s *
复制代码
发现文件夹属性正常。
' c9 y8 X+ w# I6 b B
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内,后遗症就没有了!
: F% w/ W5 P, y" r; u
( n* K U( W y7 ^% G( U% S2 ?; C o
方法二:
" E6 ]# q) p5 T; _! y0 G4 P
- B9 S% m: ?7 p, p
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
% H# d# P9 ?# U* h
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】,任意选择一个图标之后确定。
4 L- I1 w7 c6 t5 ^, E
3、再去查看文件夹属性,发现【隐藏】属性可以去掉了。
) m: f2 ?8 p2 T. F5 g m5 d0 U
4、按照上面的方法对每个文件夹进行相同操作,操作完成后,再将所有文件夹剪切回U盘即可。
$ f& M& r) z, u9 b- t9 m; }
/ z& D4 Y3 ]. d+ b' }9 M
到此,该U盘中的幽灵病毒全部清理完成!
) l% z5 v; D+ b5 i f9 i: k) t, T: K
, i/ M- Q3 P- H$ `4 I
[
本帖最后由 3ast 于 2008-10-14 20:26 编辑
]
作者:
wmmy
时间:
2008-10-11 12:40
直接用软件对U盘免于啊
- O( C* V$ t6 G$ j0 u9 Z
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧
作者:
柔肠寸断
时间:
2008-10-11 12:42
这就是昨晚群聊时说的幽灵病毒啊,我来看看文章先
5 X7 b8 }0 b% _& }5 Q
8 d1 ~1 m& y3 x3 [
主要是没有中过,有时间发个病毒样本来研究下
* q# V4 B! o' b
1 S$ k% b( o5 P# G# d# ^
还有就是连接没有病毒计算机的时候注意不能自动运行,而且要是安装了360的话,360会直接检测到autorun文件的
! p' N% @3 m: R/ q7 }
8 w. e7 d1 L- T+ i* P# p$ x6 N* s
并且直接删除autorun
作者:
saitojie
时间:
2008-10-11 12:42
那要看你的autorun.inf里面的内容咯
作者:
juchong
时间:
2008-10-11 14:26
以前也经常碰到这样的毒,后来用了USBCleaner这款软件,就好了:) :) :)
作者:
wmmy
时间:
2008-10-11 14:37
标题:
回复 4楼 saitojie 的帖子
z这个是我U盘里面的文件那个MAYI.是我自己搞的, 汗 忘记删除的命令了
3 c6 s$ s! g& B) _: g
! I9 `, y; ]* t3 S" q: o7 j& {
[attach]543[/attach]
作者:
柔肠寸断
时间:
2008-10-11 14:55
对了
$ k/ {2 ]# F9 _2 h T
7 P" \, Q! ]$ }/ f; W% T
问问大家
, e/ [; y- L( Z6 ]
- Q4 l: L( m9 T$ @$ v
这种免疫的 文件夹 是怎么建立的??我忘记了??
作者:
柔肠寸断
时间:
2008-10-11 18:12
知道了,方法是这样的
4 d3 D4 [ f4 \6 k3 J2 \6 G1 f% ^9 q# D
0 y3 [6 R: p# Z8 a$ r. k% N
' i* M6 o/ l* f( F
有一些高级、智能一点的木马,会删除你的感染文件或者目录。为此,可以创建一个同名的特殊目录,并且在目录下创建几个带..的目录:
* _: o0 Z5 g+ }. l) v
2 I9 s) i6 ^4 W+ H6 c! n C
在开始菜单运行里面输入cmd,输入下面命令(括号是注释,不要运行)
$ S# I: F4 ^) k* u4 }7 m
假设 g盘免疫 (g对应u盘在电脑上的盘符)
) ^4 X' B) T* E } Y5 }2 O
3 G& H" m/ j1 z- J0 q' V* B$ w
==================
3 o/ E: D. \) T0 [& K* y! M
* x2 f3 C( z( O/ R# u% k
pushd g:
# \/ @ `1 a! {
md autorun.inf (新建autorun.inf文件夹)
2 M# {+ r1 @3 `9 x3 c+ Z. c/ z
cd autorun.inf (进入autorun.inf文件夹)
y3 i" ]$ g6 B0 J
md abc..\ (新建免疫目录.文件夹)
2 }. \& S. W# X* J
cd.. (回到上一级目录)
' g7 U# J* u6 P0 j" n) M8 P) n9 m
attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性,或者按步骤1设置权限)
' s2 }+ b8 f( L6 S$ H
8 @! o2 D5 H8 l- a8 J. n
===================
作者:
saitojie
时间:
2008-10-12 00:56
删除的命令好像是
rd mayi..\
复制代码
记得有个隐藏的强制删除的命令的,不过现在忘记了,你看看在最后加上参数/F或者/X看看
作者:
柔肠寸断
时间:
2008-10-12 07:58
标题:
回复 9楼 saitojie 的帖子
对,就是这样的
8 n0 ~% Q9 Z: a7 B l3 s9 N" u
: P6 F& `/ v* u2 {5 ~. C3 X8 ?; t
我忘记差不多了
6 l$ O3 n6 `) N/ Q+ D
& r# ~/ N, u; @( y, Q _% H/ m! p
上次上网找倒的
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2
