[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
* Y. o- F- ]6 h6 T+ j- `/ y/ b
  F% j5 y8 f! d/ ]$ h: s信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）% V# u# t7 o* \( A5 ~4 @% z+ ?

6 J4 g' f3 L1 r4 c+ q* ?. {. @$ O) H5 x; ~# Z
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！* b% Y8 G! }! ?1 w( e
1 _" a$ w2 l( S% D) ~+ K4 ?. K
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
5 s9 q+ N3 K1 c* f9 @! A; C% h$ w# t4 |% _' O2 a
病毒名称：幽灵（ghost）
' L. V& m0 }. a, M& S% d% D' W
: [: |  e4 R" R* R5 Y3 M) g; m病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
& V1 e' l0 x: {- X  S
- L) L2 K, j9 _+ N' a6 a如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
* [1 Q( S! Z+ w8 D) x; u6 S& H. \% l- \; F" x4 O$ H- B' `
1、将U盘连接到没有中毒的计算机上。) |; D) o$ v, C% j5 J: z& ^4 X
2、使用资源管理器（alt+E）打开U盘。
. D" c8 @9 V* p7 h3 Q8 v: M3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。0 r" M: `; N* k5 w
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉8 q# y# |6 Y# T& O5 g5 G' h: p
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
# h  \+ l" F4 t4 A以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。% _) i4 Z$ k1 {
8 T8 Z9 d5 V. a8 b& k, S
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。" O8 c% K" t- \1 V$ |* `1 I( T; T
6 _; s6 z) V1 G3 K7 F* P' D2 A
对于后遗症的处理方法如下：
2 p& _: W. E  t
: _# _! w% u9 r# N/ m1 V/ E方法一：8 X. z8 A, }5 ^6 B

+ ]# k7 u/ y" i& @1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）5 Z( f/ y1 `4 _6 W9 u
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
; d2 [6 |$ l% q' l& v: }2 O' a! L7 r2 i3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！: K+ j! B5 g3 z0 h# l9 C

- ]: [# F7 j" f. |3 ]方法二：
$ u: b7 L- C( j1 Z) s$ P  c2 C
# ^9 ]' t, ]' s; H; V1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）6 K9 w' J$ Q9 @! h: z. Y
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
, k( J  r/ T# f, R, M3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。/ S: ^# e* _  q
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。. x2 Z$ q5 k, X$ x* @7 ~0 ?( Y* H+ X

6 H2 k7 a" p6 F到此，该U盘中的幽灵病毒全部清理完成！, f+ _7 @/ W6 X3 D

% T  c! {- s0 k  h4 {5 d[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊* v$ k3 s- e' m5 y
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
/ K- I: y* [' T2 j! F9 w5 }; L+ a
主要是没有中过，有时间发个病毒样本来研究下
/ _7 `5 @3 O7 M! Q$ E1 N/ |) t  `6 ]/ D4 L1 I
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的* d1 k4 p, E" ]+ M/ d
1 {6 Y5 ~: P. T
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了7 i) ]9 s* A0 d& C: k
2 U6 h% A2 D1 |0 R: }" Q, I

柔肠寸断

对了
8 J* J& [. k" y( v  ]( S6 c: V- s
2 i9 K( @: r* O# y& ?/ x问问大家: G$ R4 ?/ g$ R# [

- Y. r3 O' i; f. g3 j这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
5 ?# }! o2 D. V# C* C- y3 ?9 L5 W. h* K- W+ F: F
4 Z/ U2 l* N1 X- I" [! H5 L
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：7 J& r( M) e) V7 y' D/ U* i4 ]

. o4 Y4 k+ G. N( d8 w     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
/ j' q4 e. _/ S) }! P- s2 x     假设 g盘免疫 (g对应u盘在电脑上的盘符)" V7 }7 q& b8 f! I, b' U% N" |' Q

/ Z- q, }" I! w; `% P' }==================
- i* G0 Q& k& {( c9 C, V6 f4 u- o$ {/ i! Q% J, K
      pushd g:
- Z) \1 y8 _1 P1 r( p      md autorun.inf                 (新建autorun.inf文件夹)
. y7 E; D. [, t2 `       cd autorun.inf                  (进入autorun.inf文件夹)
$ F9 t& M2 S: P) R# [, }' L8 A       md abc..\                      （新建免疫目录.文件夹）" Z" w- i' Q9 X/ W0 E) M$ o2 V
       cd..                                  (回到上一级目录)
1 \, Z8 n  T' g! c1 Y        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
: w6 z1 f; Z' @# F0 B( W( r+ a9 }& B* F
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的' G0 u# o# f4 H( ]% f3 b0 m
8 s1 R$ @/ ]& z4 e3 `
我忘记差不多了4 x% b, C( l0 k( C

. s5 j5 E/ _% c3 v上次上网找倒的