[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
$ {1 t& g; k1 }5 [0 c& f! B, p: b8 z" R
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
. L! X1 V" _+ \8 ^7 h0 h% t' W& R7 ?

' v1 K  \; |) C4 k最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！0 s' p# t! _4 @6 K  x0 ^
# C1 A' w( Q) h& F
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！6 r% P: }- G& ?' {( \4 ?
) X; |6 s5 y3 d
病毒名称：幽灵（ghost）' U: E; g5 v5 x+ |8 R" I
. R% A9 K# e7 {1 n% K
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
, a6 u) s4 S4 ^# \
/ T' q2 Z9 I( c4 ^0 q0 @如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
0 M1 C4 r3 k7 ]; f) r
0 S' u5 R% m/ }. \7 \1 \+ d* r! a1、将U盘连接到没有中毒的计算机上。. F' f2 o5 [5 G0 w: ?, E9 O
2、使用资源管理器（alt+E）打开U盘。
, w0 `+ R5 J" K5 R9 f$ ^4 K4 U3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
$ Q6 \# p0 q- p4 K, S4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉$ X1 E9 E) u: c& N" \  e
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
9 Z' P3 @% R  V/ n* z以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。5 I. ~3 z* X* t0 o" n6 l

& J; L1 R" `5 r后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
7 I, ^% e% ^0 I0 U# e- N
5 M; t, b3 r. {. t, [# @, q! f  l对于后遗症的处理方法如下：
" y/ d1 V  t/ X% U2 a5 V6 y9 L9 d5 i$ F2 b) t0 \$ X+ Z& S
方法一：
7 y: z& a+ x8 |- C
+ |' c4 g6 ~/ h0 N& V$ E$ D1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
2 x# E" W0 [5 i9 U2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
( q, e( ]) [6 d& C: S+ g) A" x3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！" ~) W- |3 y/ `% M3 \' ]/ M% s8 v
1 D; s8 x. D! _/ O; @
方法二：
# r: X- ]1 x. z8 N- U6 z2 P; m! ?+ o7 C  l' o4 y! ~$ q# i& C
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）8 o' l- L  O( s: O/ ]
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。/ m! _$ v* C4 g, Z7 U. Y2 N/ M
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。, P( a& X! X+ V$ w( D/ L# N6 I
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。( r$ }# M' L5 f  Z

  y+ K; T4 A6 |( a3 b到此，该U盘中的幽灵病毒全部清理完成！
. v7 b: L, E" t- [# h, f  N3 }6 U3 S3 l
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
* ~( z/ |5 t6 j: b问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
. L( s* I5 y1 g; b: t/ A" |2 u% q4 L
主要是没有中过，有时间发个病毒样本来研究下
5 y+ C7 A3 }( U* ]6 A( M: {4 }8 E( ]8 g! j
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
) f" O% G  D% H4 i: d3 v, g
" \* ^1 z" z7 h并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了& z2 ~; Y1 b; u2 }. Q
( G" q5 K5 G5 W; |3 b

柔肠寸断

对了# d, x. E/ M, G3 Z3 P/ c/ Y: S. z

0 K' `$ i2 \' L3 ~' f* x/ v问问大家
- l$ O2 Q' ^8 D. a- L( y+ h: M8 I" u( E5 p7 H: e
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的. O2 S! B( i9 S
2 a( ~7 i; o  y+ E  [
1 X1 q4 c. Z, M
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：2 R( k: |9 D1 e9 F- |' `" b, g1 x/ |
( l. V. M& ~# h! O
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）3 v  ~8 g8 h6 R9 s# _
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
- p; a% J* T( s. u1 Q  i1 p4 ]8 Z; k/ y. {- |
==================% B+ h$ s) n* l% J% |& w6 b& `" R
: `2 ^" {$ X( `2 k4 \
      pushd g:! r* D; h. }6 L
      md autorun.inf                 (新建autorun.inf文件夹)
4 S1 u7 T* G! S! N1 ]' `+ n$ C9 G7 Q       cd autorun.inf                  (进入autorun.inf文件夹)
# m5 v9 N3 L7 T% J' c6 u       md abc..\                      （新建免疫目录.文件夹）
" ?; z  M1 g1 J7 u1 k       cd..                                  (回到上一级目录). k# b* j; {& ]
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)' }! ^" ~9 c$ t5 h: y3 T
/ b6 x9 y# L0 i4 W' N. W4 z& F
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的; C" V( F. D/ t+ p  m' [

1 ~. s5 o; x6 \6 ]我忘记差不多了& v$ P' r2 ], X* B. u: t

3 ^: L9 a; e3 d7 `9 C9 V- ^# I上次上网找倒的