[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
9 r. S* u% n* C% b# [% z9 F8 n5 L- M% N* Y" g% b9 C
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）- a( K" D: A1 h* K7 B# ^2 U% U

" Y2 j. }" _( I% L& K  o* U0 K. `/ G4 Q  V$ s$ V
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！: \% g7 c6 ]- S# d: q( k
$ p! m$ P; q/ ?
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！2 L/ T8 x1 }' d8 J/ J

& R3 M% o0 i4 K% P病毒名称：幽灵（ghost）6 o% v6 ]- p+ P  |' z. g7 r

$ q1 k* b/ M' ~( r  Q% T) G病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
$ a* K' l5 @* x9 r" @* ]" ]0 O* E# k! c/ ?
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：% ~+ S$ l0 }% i' e
$ Q' r. R5 D. S; d) u* l
1、将U盘连接到没有中毒的计算机上。; u. ]2 y# k* p: a' I6 G2 v, @$ r
2、使用资源管理器（alt+E）打开U盘。% J  H  q$ u0 r3 r( I+ ]
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
6 R) c3 C. ^" p5 }) R* K4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
+ _! y$ e. \5 h$ z4 H7 i8 `" C5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉9 I: L7 B- F1 \6 b
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。1 F0 D. v# b4 G% U' D
2 K! a% X  V5 U$ A
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
/ n. m; Z+ O  H
9 ?& Z- Y1 p, r7 }" _5 z. ?对于后遗症的处理方法如下：
) C( `$ a, V, W
/ U  r$ h9 X  o9 |2 |方法一：
6 d3 l8 c6 |3 Y! |) h6 A2 A/ a
' l, _0 ?1 `5 ^4 c8 F1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）. H' j7 u# `: j! W7 a& h
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
6 ~) g7 u  E& X4 o+ s1 F! Z6 D3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！# u5 e: U3 f$ _0 m

0 c, S, i; R! Z  I7 m$ O; e  X方法二：
& n, |& x* T( F, \% r' a0 S/ x1 t; _$ |8 S. ]) m, R8 @- I5 F
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）* p( t7 g$ g/ W1 [/ C
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
) |; m7 N  K6 i8 J# T, `6 \9 \3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
) L' R/ {4 \0 c3 ~4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
# k1 K& J, t4 w' L' N! A7 k* w' l; m" @2 Q  P& q
到此，该U盘中的幽灵病毒全部清理完成！
5 p; ^0 ?% i+ A. W( p* C& J/ {5 B3 q& m: n8 T
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊% e: f9 {* _5 P- l- B3 g
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先; a, f% v1 u) v8 C+ R
: T6 s* y/ D3 S; T3 r0 F
主要是没有中过，有时间发个病毒样本来研究下0 G; |- _7 S, Q! p

  X* F, ~6 g! b# I+ y3 `# E还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
( w* v" n' W; }# y" y$ z4 N/ G, X4 G5 i% H0 T
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
$ e8 m3 x) r" e+ D+ @: D2 v, d" Z' Z8 g! V5 a1 g( F4 q

柔肠寸断

对了( f1 c* x$ p0 g* }4 a9 j

) @9 A$ l) N8 Q& C问问大家
+ p1 A1 o5 {4 {0 T
. c& m" p6 v* N) W这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
6 q7 h2 N$ l9 B6 Z2 f; _- H. s% ?: F7 K% Q# {: \0 F6 y

4 {4 k& B" L0 T4 |; n有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
  Z, i6 g4 s$ q' ]. |; ~1 `( ^# s' a; k" J
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
- r) j# J7 s+ B- O     假设 g盘免疫 (g对应u盘在电脑上的盘符)
* z, g1 c/ n# @. K/ t. D
0 G7 I6 ?8 u- V3 ~. a==================" u4 b+ ^, k) t

8 o4 B# M  \# F8 H      pushd g:
; d3 ?0 P$ @+ y( \1 x8 h      md autorun.inf                 (新建autorun.inf文件夹)* M! t: ]- U- K8 C/ P# D
       cd autorun.inf                  (进入autorun.inf文件夹)
3 c* n, I! o& u( G. f9 N       md abc..\                      （新建免疫目录.文件夹）
8 c4 X7 g; V8 G# h, W6 Y       cd..                                  (回到上一级目录)
: @1 j0 O( P4 B" {% i7 o8 W        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)2 n* W- V5 Z- \  ~
. u* K0 h- `; f. N/ `
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
' G. p# |# i8 {' ]+ S  J
; a! Q( j3 V3 N; ^我忘记差不多了) Y5 m6 l" b: T* v. [" u& y& a% M

/ w/ Q! x+ Z! \上次上网找倒的