[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
  s+ L* ^% l1 H$ [  }' ~- j) ?* J& z) x& D
( U  i3 L9 X, O- K信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
: d* ]) S7 W( \" A$ C  z4 S+ a- E. v/ d% \/ h4 |( F- b% A1 p! x

+ h9 p) D3 C& D+ a6 n5 \- e最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
/ O  V. \( a- L& ~! S- s" @' B5 j
- P- T1 ]0 f; q$ L+ D注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！4 A. G' H. A3 h. ]" k
2 o: ?+ C$ m2 }6 A/ B" Z
病毒名称：幽灵（ghost）
5 b' U0 y' R" C4 |2 D4 o& T* S! r; y
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
7 V; v) B! L" ~, a+ G" L, E0 I& N8 u' V) p
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：5 Y& R: X/ D. ^) ~: w& N0 f, F

7 _# L2 ^4 E2 ?: @; Q% G, X9 Q1、将U盘连接到没有中毒的计算机上。
% @' V& I1 z7 `  L# n& v7 `/ u2、使用资源管理器（alt+E）打开U盘。: `* }4 c: d5 s
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
9 X# e# x0 G: z. J! Z* h/ U5 k4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉: {$ ~* s( \6 {! I' Q7 H
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉3 n8 Z6 Y8 ], d
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。6 ~$ U# t* c4 i& A+ d, H

  R( |/ {1 y- ?8 z1 @1 o后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
8 ?3 _& M' H6 {( G5 _6 U8 A- J( ]; d
0 N* V6 k* Z( M- t# n对于后遗症的处理方法如下：
7 h6 W% d/ e& F5 R7 r+ D
8 j. s# g" g5 R+ w8 y  c+ }方法一：+ u! n9 u  h$ p! M  x+ ?  ^7 e$ j
% R, C# n4 P5 e3 X3 P& A
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
  D- {! ^. z6 c2 ^; r3 B4 m2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。/ w+ n8 y1 C7 v! e/ Z, r
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！7 k( u9 H8 Q2 G1 k3 \; f4 r# {& d
+ P5 G$ K, E) r  n2 f7 [0 h! Q
方法二：
! ]+ j1 p; @" R* K' I, K
& ^+ P" p8 t7 W/ C/ E: M1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）% N3 s3 G5 p& q' P" {
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
; I) ^2 O1 H* r5 z0 q3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
4 \- b( P6 D1 Y" V# U- U# ^4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。0 i& q) W% s9 C9 u
0 W7 H  g* o4 g
到此，该U盘中的幽灵病毒全部清理完成！
6 l; z9 v9 {  [9 Q0 v: v! ^3 N2 C4 a3 r4 Q
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
4 J& L- `5 Z: \问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
( Y9 `) m( l% u4 _* C7 j% X1 W! X5 t. f. |+ ~! w
主要是没有中过，有时间发个病毒样本来研究下
7 Y' G9 m* V3 r
: w8 U* R+ N: ?' V还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
; p# ]. a( Z1 a+ S% w2 u; S: X( y* U
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
8 H# i$ ^$ Z" X1 X2 G. e4 A
+ j  c% c9 b) p9 ~

柔肠寸断

对了
8 L- Q, l, D/ `# L0 [$ g6 ^+ J* G# y$ G0 S- m8 _1 }
问问大家
$ t* V! p1 d2 i/ T2 M6 E% T, d9 M) l6 f- ^  K% A
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
. p+ h6 @' ?! T! v* P, A4 T1 ]+ e
! K$ {5 o) s! S( z
# h+ W, a/ O1 ?有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：7 j1 s  ~, d) l' o- v

: K% f3 B  S( m% e* Z     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
# i2 r( j! n% X& q6 c- S+ r  I  S     假设 g盘免疫 (g对应u盘在电脑上的盘符)
  {: [$ W/ j8 Z3 w% z* |% N' o. D/ o6 u/ T
==================
. @- ~7 z+ v+ I8 ]
1 C8 K$ D2 i! Q0 b' b8 l/ t/ `      pushd g:
" Z" L2 `! X- ~      md autorun.inf                 (新建autorun.inf文件夹)5 y' G6 ~/ c6 F
       cd autorun.inf                  (进入autorun.inf文件夹)) V( x* P& s8 C: a6 g" e) U
       md abc..\                      （新建免疫目录.文件夹）
  U% E* ^' @: P% H, N9 n       cd..                                  (回到上一级目录)* `1 m" r+ e. c1 Y  K+ h6 ~
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)* M: s! `  O8 a) N0 G- y' {

( U* G7 ^3 i+ A. f＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
3 J7 B) f% R5 u9 [! C1 V$ [. {% u, P: w" n
我忘记差不多了
! K1 X. _% d4 [& A! M4 l* |; S, S( ~* T+ o; u$ v' h% x% s  L( j0 @
上次上网找倒的