[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]% q, X2 c0 Z1 o5 [5 V2 ^
' m! q: j' ^- c5 l( U) l" G
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）8 J, ^$ |6 V* c) l: p: n5 {0 M
# G5 d0 K# h; y

& t( }& s3 h3 N4 z! {$ Y1 ?" s最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
, U8 s( ]: B( M- L7 Z0 n1 `
. _4 a, M% Q# @/ S5 c) R注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
7 l# {: Y# d) |' U) U* A
; r5 t, S  o5 _3 h4 B$ q3 t5 {病毒名称：幽灵（ghost）
+ v( j2 e( T& O
% v; ?; n- @0 k& _病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe/ m: f$ g" ?2 V
! Z" Q  G, `8 S0 z% `# ^/ c
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
( X3 u  b7 N% V# e# ]" l
  N- C+ ^# b5 W) Y0 Q: t' _3 |$ b1、将U盘连接到没有中毒的计算机上。
5 u/ I: r0 g# Y, j  Q* y; U2、使用资源管理器（alt+E）打开U盘。
* C  b5 l( w) }" n+ q  W3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。) j- o5 Q* }- h) |
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉" b, X9 U0 _' G' a
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉9 _9 r4 h& f5 |3 J
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。6 E- R# s3 f$ m, f; j7 {9 D
6 N& D( L/ o  e
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
: N5 ]- g. _4 z" e4 o/ Y, n! T, T3 B7 ~% n% {( I0 I8 o8 l- f
对于后遗症的处理方法如下：6 ?3 Y; V2 D; C& y
! r9 _; l3 y, p$ o
方法一：# l. W+ Z$ M3 |7 ]% b

! k, `. C! I, `& n1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
, z; r6 D% m+ X1 m$ u! d2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
( w, b: M$ C% f% B' d, {3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
7 }1 J: t, B- q
. ~9 m: L( ~. N; j8 d& ]: r方法二：
) c  o) {0 @" I1 E: G# G! T% W8 b  p1 n9 ]
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）( Q: h# v2 K' A; H; r  U
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。; N1 Z6 y7 u3 P4 J: l" n: |
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
( M4 X4 J, O# A* K4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。6 ~7 v. v2 q1 a3 V9 o8 ^
& L% E& J% u' ^* \
到此，该U盘中的幽灵病毒全部清理完成！9 i; w7 d) a2 x7 R: v2 d' L

+ [' J, [1 E% f5 Q/ B& [: @  y  h[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊7 E  b5 u* k6 q# s6 t. N2 N
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
, ~6 v" |2 b) X/ R! c% Y/ T9 w3 Q+ ?) ^( k. y& P( J
主要是没有中过，有时间发个病毒样本来研究下9 F4 W/ q- Q& j  l

) _6 a- h: f3 n, v还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
6 X1 e( |" o. [2 ?! [2 f' d4 R# h3 w% B
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了8 D& |* W' A) x9 {( a

0 G) H7 X8 V& n0 t

柔肠寸断

对了
( a+ K8 E3 P% \% E& f& h( p# h6 r9 l  g7 g
问问大家
3 B5 w; a) z% A# h/ |1 f9 s) ~: q4 Y) G; r
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的  d/ h3 J" z2 _0 c8 m
4 I4 t7 n4 E5 p1 ]

- K- K! t2 o# y  Z/ X8 [2 U有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
% Q$ r7 T; y- N
6 \7 w9 o5 @3 M- b5 Z9 w     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）) Z) X1 y( w# K. z: _$ l9 Z
     假设 g盘免疫 (g对应u盘在电脑上的盘符)( s0 k8 T$ i$ V5 [( e$ V- ~
2 u) ^) q) i' u( Q' ~
==================4 j7 W$ O# q1 d: G/ k1 ~
' w" y4 x9 J1 ]+ I
      pushd g:
2 N9 h. g/ s) I, h- O4 b      md autorun.inf                 (新建autorun.inf文件夹)0 E4 f; o4 u1 `, L& a, C6 {
       cd autorun.inf                  (进入autorun.inf文件夹)
* T7 X8 s7 i2 Q' \2 P       md abc..\                      （新建免疫目录.文件夹）
) j% k% Z2 J( F3 i' i) i! S- h       cd..                                  (回到上一级目录)
( D) T# `% A: B  K. K6 ?3 Z% r        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)3 |/ o8 M4 p& D& w+ P2 I

8 [0 m" Y4 ?) N; v; |, C' a＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
( ]: X* |8 r4 n) n7 o' _' y: {
7 P0 y4 W: M/ Z6 @2 P我忘记差不多了
1 |3 r7 t1 P7 E  e& U& Y
$ M4 N4 R- }6 j上次上网找倒的