[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]7 ~7 U) U5 l' H+ b9 X/ E; _, ~: @

* C9 E: V: x  C7 O# J4 |: K: A信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）8 N# d6 Z2 t; S) h, ^8 v' ^5 J0 K+ \

1 b/ z% |1 t, E* L
/ f" Q* X1 {; S* w9 @: q3 D, v最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！. f: M2 T* {( I& B) k8 ^( i
2 J7 q8 D; x# R  e  q' Y
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！# a7 l3 P4 L  g1 j

) @' Y% K' {3 N4 F! F$ R* A! f3 S8 l病毒名称：幽灵（ghost）( }: O2 w% J- j/ E5 [
% y. Q; o% F3 D
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
" R* a) B1 {7 V8 ~! ]$ p
7 U' b* g6 m  I- p  h3 l5 [如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
* d1 m0 A- v" Y9 ?
- P$ |% q/ L6 H) w& A( Z1、将U盘连接到没有中毒的计算机上。% a: y! k5 U* W% B
2、使用资源管理器（alt+E）打开U盘。
6 _- L; X; }5 J+ T5 n; F) l* p3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。* E; g. f3 ]" I2 }5 \0 a
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉3 Z6 _8 t9 t6 K# d$ M
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
! g3 Q4 u; v2 t7 M6 f7 a以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
) S+ e" W& k7 ]1 q* T8 Y: U$ N2 Z- W, f8 {& J1 c" D
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
* w& [+ ?. B( T4 A( t1 L1 q4 I: S0 o) e/ G
对于后遗症的处理方法如下：
8 Y1 {) D2 ^) o
6 U! E, S! y, F8 H5 Z方法一：
6 L; X. v% J6 ^8 e$ }4 ]1 w* v1 P. {& I6 H- ~4 h( j# ^( l
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
0 L5 D1 z7 T" c2 @2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
, G' D2 X0 U: f! T3 p3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
# ^: C; U5 M3 ?5 a$ [
# [9 q0 D' w! W+ Z方法二：
6 ?% q: l3 g+ L2 P+ {& l6 g$ v) k( L% E. s: J! T. T3 h
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）, _4 m. z. b$ G0 h9 \6 k" e. v0 v
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。5 ~, m* K! k! o: D+ f# f4 B
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。# I+ l0 M  @. c9 e6 d$ j6 j+ K
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。2 f4 q5 C  u) v& F! H0 k
- e* q4 Z% ^( j  }4 V; u3 V
到此，该U盘中的幽灵病毒全部清理完成！+ u* Z# Z  y, \$ q7 W: U, k
7 \/ G4 {. z3 A. s" r
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊# ]! R8 }1 T- h# F& ]* {
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先& I1 n+ q' A  R/ m6 M4 q+ B

9 n# {" ?/ B0 M& \主要是没有中过，有时间发个病毒样本来研究下1 Y1 K$ W# Y9 G4 l2 l- Q
1 c4 N% f  w+ I7 l6 E
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的6 _4 W- l9 M4 D9 ]. o* o# t1 S7 [

& B, t+ {* q1 Y并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
4 T) e3 ~/ M% G. }% B
. Q7 `" T- w  J0 U9 f. l( I

柔肠寸断

对了. Z: B" t3 @( @8 @9 _- j

& X; ?% N- V% T, \问问大家6 j+ L: z# Q+ Z6 l9 O1 W* G1 ]
# K) _3 O2 }9 _: a
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
+ k' ^, X% l4 n  L/ }& z) {0 H1 m. J6 u1 `4 p
- x2 k6 K4 C9 W; _) Q* K/ {
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：+ e8 d) \8 \: {$ u( ^

" k3 `$ e1 w3 k/ f  [     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）/ c0 D: W1 I! W! [0 C
     假设 g盘免疫 (g对应u盘在电脑上的盘符); S3 ~% ]6 K7 ~& j) u5 s5 {! }
. [. P7 n" s. B  O3 G# V
==================, r8 W! v! G( s% h6 R3 i2 g
* ?1 a' H" j4 {* E
      pushd g:3 n- F, H/ ^( O3 [8 w$ p8 u( e
      md autorun.inf                 (新建autorun.inf文件夹)4 l1 ~2 A  N5 [: A9 v# t* P3 h
       cd autorun.inf                  (进入autorun.inf文件夹)7 c1 N' o( G/ J' H/ y/ t
       md abc..\                      （新建免疫目录.文件夹）
- I9 T8 P; S& W+ p       cd..                                  (回到上一级目录)7 t6 h/ r+ ^2 O8 ^. S
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限), \; s. K* A) ~$ ?

7 r' Z4 p- W; {! d& r- x& u＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的6 w! G* W9 Q" `' C

- s) ^( s. c7 U3 t我忘记差不多了9 \* q) f4 M" S) C0 j$ o8 w/ ?, r
4 J1 F; c6 M4 C7 r4 V# O
上次上网找倒的