[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
: h2 \: L9 K' ?8 y, D" k( N. D* f4 N" i- s. l
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
. g- J% B5 K% K/ ^4 H
1 [7 s. I% J- V3 l
4 ?+ [* E7 M# |( n" z最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
- [, S+ x; Z$ k1 k+ `" g+ k' j( C) m0 ^4 m/ b" {. ^" e# f' K
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！! ]) X5 ?+ b: j2 Y: z6 s

/ J2 I3 \4 r: m6 R. s' Z: L# o0 d病毒名称：幽灵（ghost）; O) `, @) D3 l  T& [3 B

! N' ]' _: O6 b. K" A病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
/ p2 t. `- X1 n7 y) S- J# B
1 B; H& R: z4 _' Y如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：7 F6 q% Z! o4 z5 Q6 D, w

/ D+ t8 f6 A: M/ \1、将U盘连接到没有中毒的计算机上。
$ E; m/ M* C6 \' M9 o2、使用资源管理器（alt+E）打开U盘。) Y- y8 F3 Z- p1 l; q% I
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。: E+ ]2 `8 Q# T8 a" d* Y
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉6 p; r% N+ B, }9 c
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉2 p# ~% ~1 @) g1 h; D) C: O
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
. G- p8 Z" R+ V- s4 \- [+ L% H' Q  j: F$ x
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。/ `/ s8 E5 {) g$ h" ]6 U8 \7 f+ H! I
+ z' K- [8 y% C
对于后遗症的处理方法如下：, s2 Y- ]+ j; O( A6 a

5 _6 Z7 |: X! ?( k1 h, N2 e# v方法一：
7 K! [! y6 [, |: D. i" K
- X$ k* V# r* s) B6 f" E1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）; v" S7 ^- h1 O1 V/ [. j8 {
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。4 h6 `9 G5 y3 P- D8 p
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
2 J$ G# g' q, H5 Z$ ?6 X" k7 r
8 j9 p, Y- E$ r, ?. R7 S8 @& ?2 u方法二：! j$ H; B# c& m0 z$ P" R) W3 @/ J

3 i3 Y- Y2 _3 E/ w! @5 C# q; o1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
  g3 B9 F) O( i7 [2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
5 K6 U- s, C% r; u8 ?) Q3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
8 A$ K  z) V3 }4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
" y2 J  `( R: ?. ~+ O) V" i9 E$ D4 A6 @+ f
到此，该U盘中的幽灵病毒全部清理完成！' H: ^1 W, \4 o9 V  h$ ?" K2 |% i
" u9 u7 I, C% j/ d8 n
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
( q# N, a# g/ {; l0 t' k问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先! x' s# H1 e* d  |
- ]" s& z4 E3 K' X5 M! _8 D; x
主要是没有中过，有时间发个病毒样本来研究下0 g  b" V+ b$ H6 U# ?
: r) l! j9 _+ L; L2 g5 @) K
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的6 x9 y& h/ ^% K8 P9 k
$ Z6 E# `/ S2 W0 F' y$ D' V
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了8 L9 R. I) s, q6 u
/ ?8 Z) j) a7 \! K

柔肠寸断

对了
) y. H( {; c/ P2 ]8 y9 c" g$ \5 A! S) L: K  z% [' z  |" I' j
问问大家
* a4 r$ L+ L9 v& `% ]
) s2 m5 m% X" s0 m! ]) d  Y这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的8 N8 q# A7 u$ V9 q/ M! Y
) O7 n) J/ u4 b, l) L$ \, `
8 ~. p* {' K& E/ l. g1 `9 q
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：* q; h4 M4 Z$ B1 {. N# Y5 e3 p
9 a# p( R5 P/ B* \1 m
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）5 k9 B9 t" W3 J/ _, i' v: i
     假设 g盘免疫 (g对应u盘在电脑上的盘符)( f; [% r8 l2 g: M8 N6 @
! H4 Z' C; o( O5 X1 J
==================
* m% s- S3 G# w$ R' l
; [8 z6 b( h6 d1 |8 i      pushd g:
6 b3 g- J9 i# W- v/ o      md autorun.inf                 (新建autorun.inf文件夹)- L* |& e5 g" q! m' s
       cd autorun.inf                  (进入autorun.inf文件夹)
  h( A$ k5 S+ Z# S0 H       md abc..\                      （新建免疫目录.文件夹）
, \: P6 S7 z2 Z$ ^       cd..                                  (回到上一级目录)
3 T3 F# v, Z" f4 b9 @: T' a        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)2 B+ i7 L2 p1 U

% e) U3 F/ y( b: g, C: e9 v( i＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
4 f5 T( _$ j9 G  G" n) [
5 t) r* ?( j& V% \/ ]3 L' e) [我忘记差不多了9 R. u. d- h' }$ {
% N$ ^/ @! C3 G5 N1 k  G) s
上次上网找倒的