[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
" k2 t& E+ U4 @( N& Q" d0 u
7 a3 w7 k6 c0 A  H7 z信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
' Q3 I3 C; ]7 P7 s; F6 @/ L' v) k. M0 T5 `: z0 n4 Y
) N  k! }3 A  _1 S2 n
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！8 j% w# H) C0 c. P5 D) [

8 [9 u+ O$ z8 B. r" w" ^  _. N( M6 {注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
. g% |9 Q( ]1 o/ S& [$ x( ]0 h  ?# e& ^1 L, J
病毒名称：幽灵（ghost）
( a" ~" X% w2 P+ \5 |' I7 k3 J
2 L6 a% \. O% G0 e4 }2 {病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe2 t6 e* P6 u3 u; E' ~% Z+ [
) S/ e# V- r$ y; }$ [  o; ?$ ?
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
, ~' ?: Z# e+ @
  A( f1 o5 F: z* m% @: ^' r* S; i1、将U盘连接到没有中毒的计算机上。
( E9 n7 S( K0 P2、使用资源管理器（alt+E）打开U盘。. A+ E9 m7 L6 i; R& a4 x1 {; j5 M
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
- J; C# N# r; B$ ]2 I& C! _8 o/ B4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉4 H' N" n1 L9 c6 H
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉2 P* R8 I* g0 _2 }# u9 j* T' H- o
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。, L3 b! c; l! \% r$ P
8 Z& b, C' b( t7 m+ Y0 K0 Q
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
% [( n. P" k6 D0 ?& Z9 G: b
/ S, `6 Y. Q, B( d- X对于后遗症的处理方法如下：, }- H0 @7 v; \. H

) G! v4 q) V0 Y, G1 f# @/ ~方法一：
4 _! ]9 c- {+ o' k, h
& G- T! e& J4 d1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
5 [- G5 T4 H  S% |2 B* k) Y2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。# h: k* F6 R3 a5 q. {
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
& o" R1 @: V7 N% d, n3 z4 U. n' p, ^) m( J
方法二：
0 G6 d7 G$ W3 r4 a' Z" L& u  U' J7 p6 ?& z4 v' h  a4 C
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
5 Y' [  Y( {: g" l2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。8 f8 O: ^$ F8 S5 k
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
7 Z8 |8 v& U: H# T( w7 U7 X3 n9 R4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。5 o- y/ u- v) x# f5 V; ~# g

4 s) J$ E( O1 o( C; Q, a' p. M到此，该U盘中的幽灵病毒全部清理完成！! t) E2 s1 u  I+ e# c9 r

) P! i) \. u1 R. C[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊8 N, d7 G, U! I. _1 O( v+ L
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
2 G) F4 ]. c. D& |2 s; y; ~
! E& `3 T* ~( w9 B4 @8 G% R' z主要是没有中过，有时间发个病毒样本来研究下8 O* A) G5 m- i* L) V+ L
& Q6 H2 z4 h/ S" E) t- C/ F: T
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
% G& p: Q' r4 b( k2 I4 j" e( Y  i6 }$ h
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了: [4 w% f1 a+ q! N) J/ j0 s

* ~& h1 u+ h) h" y/ ^: e: Y" I

柔肠寸断

对了
1 R& o. J7 S, \7 A# M+ Y" t# p0 r) J2 r- S* d( l
问问大家/ k; p( B2 q8 [; @; c( o0 n: u
7 D, K1 X  U3 s! Z& s
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
2 z, g2 r( {6 ~' i3 h7 ?
; M. w" l2 i0 w' a3 F
" l* x. f. f( L1 h. D有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：$ j  X4 m5 N, q9 H, f4 ?
6 a1 O5 n1 \9 C& M$ v
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
7 n( e+ b4 J5 O: o     假设 g盘免疫 (g对应u盘在电脑上的盘符)# \5 e. }, A+ {' ?0 j
* y7 G- `5 L5 U6 R% r
==================
2 _- U/ l  [: R# A$ j
; L( |7 p$ B! L( ?3 h" ]3 Z* \4 V      pushd g:# S" i  c3 O% c& b
      md autorun.inf                 (新建autorun.inf文件夹)
$ h+ D. y3 G& V" X2 _       cd autorun.inf                  (进入autorun.inf文件夹)
4 E* M  v3 {& T/ c' i       md abc..\                      （新建免疫目录.文件夹）  \& G/ [- s  O5 b* C
       cd..                                  (回到上一级目录)+ K; @+ u5 J- f% M7 ]
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)( d7 Z7 \# U9 b# O/ r8 }0 F
3 s* Q+ ~# I; }/ V* I
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
2 J* _, @% y! H7 ]0 W2 y  Q7 U4 {+ y/ p' A6 z- Q' c5 Y. r1 g
我忘记差不多了  N/ \. [; V  ^: w0 f# l$ V: x& I5 U/ o

$ Z* G8 v" ?+ y3 A上次上网找倒的