[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]$ _; Y  N2 w) C. I
; a* i* W: r+ T- y( w, E" W
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
7 i7 }4 @5 L: S* @( d, c
5 t$ n" ]$ Y) d" i3 s6 j6 H4 y$ l6 P+ b/ x! g$ E5 B1 b4 h2 h
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！8 @( c0 U+ G( Y- T
" {5 ^- T5 v3 `# ?  i
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
9 Y1 A% i2 }% O0 s, i9 N* u% h' r+ L
病毒名称：幽灵（ghost）
$ a' @1 d( a1 p4 H8 t* Z- _
) B# U1 i! B& a0 [3 G& M8 n) r1 A4 ?病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
: o( M9 S$ r9 M" S2 v
8 N! \# V" X( w6 I如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：; S2 [' J0 B5 u* r7 \* d& m& t

5 ?4 g$ Y4 K2 p. b  @, P( D1 [1、将U盘连接到没有中毒的计算机上。4 _- x% l7 g. m7 g
2、使用资源管理器（alt+E）打开U盘。
  `! v- N9 J) A; E  S/ s$ r3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。  n: q- U* j! e8 T* z$ W
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉7 {3 r+ B0 j% G. r" `
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉0 h  X" O' o2 [3 r; K3 M
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
3 U! n# N7 s" G$ T$ \! d0 V& s. a6 ^. M$ \/ f9 B" d
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。: M1 I7 ~/ ?4 [8 j; b

/ B2 @. P& g, a8 ]7 D8 U$ ]9 c对于后遗症的处理方法如下：
$ p9 z. F9 f3 W" Q# j: ]
+ D+ C0 e! W1 I/ t9 c8 ?0 k方法一：) I; Q+ b8 K8 e3 E4 M3 l) B, G! r2 p
% p, K( |7 ]9 P. v2 m2 n  @
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）3 N3 y, n. G! c/ N/ x% F; q
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。# A- F9 W5 x5 g5 [/ j
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！2 _% u: W/ P% Z1 r, Q
6 x' B. Q( v& C; ^
方法二：
; i2 J9 u7 g! c, h7 q1 z! T# }2 G& L5 R+ W8 X' u, }
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
/ g& R; _7 D7 H. ]; n  J5 A6 @. A2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
- E2 _( _: M: Y6 s0 J  O3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
# c! H2 V5 t% P+ K+ S4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
: Q* O1 j8 Y" W7 {+ ?% C' f" \9 m; ~5 r% x
到此，该U盘中的幽灵病毒全部清理完成！1 g! l' m# F4 M3 ~2 b0 N( |
* `+ j+ K0 ^7 z
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊% @4 E4 C2 I5 r
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先! y) D8 F5 I( i) L
% ]6 B3 R. f% G- n8 g
主要是没有中过，有时间发个病毒样本来研究下
. F0 a+ u7 }9 u6 m2 T5 f: O6 K; n  j4 P  W
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的& k2 l( F, i! n4 U, h

8 @8 t" l* q& Q并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
5 N* a. B! K& ]: O# Y. |0 N3 a+ u

柔肠寸断

对了& x2 F3 D2 F- X: k

2 F. n0 q5 J" O* t8 W* X  l; C问问大家# g8 n# K7 \5 c6 u

% W6 U5 p4 O( m+ B8 O5 r- K这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的& z5 Q1 m9 A5 n8 V% i
$ W# i) m/ |* [( l3 i- r
: B$ P* b, @) o  I0 p
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：( Z7 S3 _2 `% S

* S; k* f" j9 D( V. F: h     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
2 V% J4 Y$ w4 T: T. l" s5 M1 `( t( A     假设 g盘免疫 (g对应u盘在电脑上的盘符)
  r. X1 A) t! X  x5 a
+ i6 {/ c2 T) e1 N7 e==================
& o8 k  M; H* h. y# j0 a* }: l/ u+ Z1 r- X* q/ O
      pushd g:
% |! ~# i( @% f9 x0 I      md autorun.inf                 (新建autorun.inf文件夹)
0 k/ l" a6 c) ^7 E       cd autorun.inf                  (进入autorun.inf文件夹)
0 g& q* K5 n+ p5 ?/ L$ M+ k       md abc..\                      （新建免疫目录.文件夹）
& }. E. D0 I4 p7 N& p9 c       cd..                                  (回到上一级目录)( Z. Q% u. P% J6 @! `% _% X7 m) m
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
/ f3 C. Y+ c1 k
- A% e, c# v8 u4 e＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的0 y* l5 F# i. M$ E- `

' z; ~6 k% h7 W9 V4 d  V我忘记差不多了+ R( M* G/ Z! d4 S

3 V; i- h* N8 @上次上网找倒的