[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
, V/ T( @  t# u; z  S) c+ a
* h/ m, ^% j( j: Y信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）8 V- v  h0 K" u& `3 y7 o/ }

0 d0 T* s* z" g$ o
  R0 k7 E; ?5 d最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
2 k& ^/ X' f: `& {& Y$ V! b  K) H1 a$ c3 q7 b& ?
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！/ y" `4 S1 ]/ d" K* z( ?! `  H. d3 j
. L" `8 O$ C2 b# ]8 ?* N. H
病毒名称：幽灵（ghost）
7 |3 `8 |6 I+ w4 Q6 _" F% a5 I  i! D: B
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
9 V( K; h7 ~( K6 R$ a2 Q
9 i7 j0 M8 C0 l/ ]% n如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
1 W7 M( c: a, B& \$ a( q
* a. v1 C( ~3 i: X) ]4 v1、将U盘连接到没有中毒的计算机上。
# }* O9 o* L" p) }; @0 \, B9 n2、使用资源管理器（alt+E）打开U盘。
2 }, V/ w/ |( S5 J3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。# @$ a9 ]2 j( H2 s$ Y' b7 _
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
4 c9 {# ]% i; t- j& l( f; _5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉- [  a% v5 U& s
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。6 L0 O6 u5 Z' j6 [* M8 L

7 P8 H  ~3 t1 W, g后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。$ o: s3 p) ]2 S0 T. S8 s
3 V2 m0 R) n' G+ i; d% _8 O
对于后遗症的处理方法如下：
4 g1 {; Q) q+ `9 H" L- ?! s+ m& u1 j- N, N3 z+ {$ F
方法一：0 N) |1 @$ G4 ^) ]) ?
& m. L$ h4 A1 d/ S1 a5 e
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
! u7 x+ b6 B6 `5 b) U2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。9 G$ F5 d% `( p' a, O
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！" a& K7 P4 N9 a

- k* r# z7 d2 l" X1 M+ h' N. P方法二：& K5 k  m0 u& s  l+ t; T% H  Y

$ s0 B2 d7 @4 @) y1 P% c4 R, P1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
0 `6 m0 X5 q, x2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
8 R; D% H4 s% V5 I6 U3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
" N# |: |# ?' x0 [  ?/ l$ g4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。  J6 d5 U7 H5 f2 @- T* t: L
5 u/ O0 }( b3 K
到此，该U盘中的幽灵病毒全部清理完成！% @1 h* {9 v8 k5 g8 Z

) Q0 H! L0 |. `  I) c4 s[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊, E  W0 s0 p! Q6 N7 Q
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先) g1 J! N0 s0 z9 e$ H% v

0 R9 M# k, {8 p( }* @# U4 }; C主要是没有中过，有时间发个病毒样本来研究下
, p5 D% s- J0 t% t1 S& O7 m8 G8 L1 p1 U8 o8 l
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
) F; x9 |9 ]9 Z+ ?% F/ b& b: A3 }; `9 `5 T1 ]) j& E: o
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
2 E( f/ M! V5 K! q( V1 J( ?4 g: i6 @

柔肠寸断

对了- |( V, @8 R& [8 f2 W2 {

; D" |% Q$ e. ~9 x问问大家& L$ y2 B  ~  P  r1 {

+ S( I7 f% p0 ~$ x* A$ a/ o这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
3 |3 S# y7 c1 x% U* }) k
4 o. A+ Q/ f2 @0 k
" Y  j6 p7 }! B( }5 I有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
! b# [( y1 X# x; S0 p1 N3 i
# p9 a% n% E$ e9 F. N     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）. \" ?. B  F2 h& y& W
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
6 ?1 ?0 s" Z. T( R/ n+ j; H; R" U& }) H' y! F+ p4 S
==================
/ A1 z7 @3 n2 H" |2 r
3 A" Y) S# ?9 |* o* j      pushd g:- R; K' \% [. I: _$ K. a
      md autorun.inf                 (新建autorun.inf文件夹)
6 R! O' @0 m; y  G# F       cd autorun.inf                  (进入autorun.inf文件夹)( j0 |. L/ _9 }4 B0 @5 w9 A  H
       md abc..\                      （新建免疫目录.文件夹）# H4 i* H# `; L
       cd..                                  (回到上一级目录)
0 @9 d9 M2 X. D- ~' f- G4 b        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
* v- ]% a. G5 s# k/ |
$ I5 |4 V& n$ V" k: C  a' _: C( k＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的5 H2 q1 @, _0 D1 F# `2 ]3 [! `' B

; t/ A0 Y9 I8 P我忘记差不多了0 I( _8 Y, `( i/ a% ]6 q- i

) p8 A1 o( y" D4 ~6 c) ~" r上次上网找倒的