[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]; k4 Y$ U/ C2 o* b# p  s

: L" u% n) `' I5 G9 \& l信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
/ q* s% j4 G9 u9 v( B
3 T! K5 u' P- F% h: \
& b( D. e/ ~) ], B0 W最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
$ n4 ^2 |$ z% h
  G* _# E- R; ?& H: {注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
  {, p$ ^6 g5 F: {- ^0 o! @0 u2 N& {' b0 K# t1 X# t9 g& S- a8 u
病毒名称：幽灵（ghost）" p. S, c' |/ {# T5 [
" D1 [! P$ y$ B) Q) d4 o
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe$ c! l; O, D. ~7 K
3 ], t/ l; z% Q1 r4 A
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：- _! c3 `! F9 W( T& i7 z& C! w( ^
% R- F( {/ j5 U9 h  d* i
1、将U盘连接到没有中毒的计算机上。$ m2 \* ~- J# u8 f  B5 P
2、使用资源管理器（alt+E）打开U盘。& y* S7 N/ h9 }$ L: k8 A+ k
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
: k2 P: t, |6 {/ j: g) g5 c4 z4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
  Z! ~8 h; i, c+ `2 s6 J- _5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
$ C* X: d: E; Z' G9 ^6 R0 h8 z5 C以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。3 B( A% P; x) z
& W# L' T# L  T4 p; \* s# {  \2 N6 H/ S
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
  C+ b( v) t0 C( V; P6 \( g# Q! b8 a: n* z2 I4 v  C
对于后遗症的处理方法如下：8 V+ ]3 |( M9 `9 a5 n, T4 u

: W5 V+ e. y$ Y5 z方法一：
, u* f! }: D. s  t5 b+ @2 Z- O% D( n8 q
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）# X6 f  p; z: D& I' k7 Q
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。7 l/ H$ j9 x2 e3 D8 |0 T3 i
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
+ J4 J- ]3 p4 v! {
9 L5 L2 f+ w# c方法二：0 K9 O( w- r9 w# b; k# M# X& x0 n
, f+ M; y0 ~% ^5 P
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
7 ~. H. Q1 b3 W2 H; z2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
) |) L; s1 Q5 @3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。1 ?9 b  N, n5 z4 s
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
3 Z& a$ u5 w& ~1 e0 ^' W+ ^& ~7 o& b" D
到此，该U盘中的幽灵病毒全部清理完成！. w' E0 U; P1 ~

- T* v! G6 H3 z) H& |' F[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

柔肠寸断

对，就是这样的. }4 H  J$ M, @  G6 _

% \! N- k$ ]% T! m6 O5 {我忘记差不多了
% x4 n' D" b+ b( }
5 J  f$ T4 f* e# |. E9 a) M- I4 _' y3 [上次上网找倒的

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

知道了，方法是这样的1 [/ U3 a7 ^9 q2 l, |
% H8 R6 V! s7 n7 ~" |
$ E/ {, ~6 `: S  R* M( o+ M) ?
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
/ y& c1 s3 [6 ~. V6 W( L+ X# H5 y' v1 S! h2 g" G; J% b
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
& ]' R2 @* I, u# X  k, B     假设 g盘免疫 (g对应u盘在电脑上的盘符)
0 R  x& X/ v" O, O- j; g; p; D3 l
==================
8 Z7 @2 Z! ?, l, \; A" r5 d& v: L# R" g0 v
      pushd g:) u+ T. w/ s# a: I8 G
      md autorun.inf                 (新建autorun.inf文件夹)
4 D8 U4 R9 `6 f* ~+ Z       cd autorun.inf                  (进入autorun.inf文件夹)
/ r% E' y5 F" p! c$ E6 m       md abc..\                      （新建免疫目录.文件夹）5 E, x) `9 r2 [5 S
       cd..                                  (回到上一级目录)! @! S! {% ?8 W- W* O+ G
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)# k3 K, t2 I' b0 A! x3 z

. M) }, w7 {# V4 @' d; v＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

柔肠寸断

对了
1 A! t# @, c/ D4 b1 k' h# R7 B: N  _' Y) G: k! V9 t  [/ \
问问大家
; @% Z3 ?. O% j6 c' ]0 o
9 V7 I7 t: z( y6 Y' H9 V这种免疫的 文件夹 是怎么建立的？？我忘记了？？

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了+ T, ^/ L  M2 T9 _3 A& U5 o: q( P. B

" N7 ]9 s4 U: l9 D, _3 }0 `5 g3 F0 b

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

saitojie

那要看你的autorun.inf里面的内容咯

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
( o0 h5 b+ Y* g% N2 w
- s! h/ [1 m$ o7 `. E5 p7 e主要是没有中过，有时间发个病毒样本来研究下
4 Q& L8 l( @# m9 B/ G, v# }# W, h* Q! |
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
+ [) \0 }( i; p) `0 p! S: m
. ?& n: n+ g. z并且直接删除autorun

wmmy

直接用软件对U盘免于啊
0 w  D& K5 l% u! {& B, P* M问个问题我U盘里面这个文件autorun.inf不删除没有问题吧