[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
6 M1 h" e) v9 ?% c* \1 H# N; e$ m! [; R# H7 j8 W4 D
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）4 t3 m+ H; R3 T9 v( i
1 |/ a& }0 B# E7 I

- k* v4 i( I3 v8 `最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！9 v: B( U, H6 J3 h9 \
! P) }8 n1 K* R) I1 @" W3 L9 q9 G
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
! h& Q, }, s8 C7 m: {2 }& ]8 b0 e+ m
病毒名称：幽灵（ghost）
, q) ]6 X6 I  |; s
/ p( Z8 v8 J* m; S5 S  x, Q病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
; ]  J2 ^, Q4 ]/ G7 q  m; Q3 ~" G6 @/ O' \8 G9 M
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
. [& b- S% Q, H5 [
) r, B! n3 d/ o8 x8 e1、将U盘连接到没有中毒的计算机上。
2 }0 ^7 {8 l8 X8 V+ w0 q1 ?2、使用资源管理器（alt+E）打开U盘。: B& V8 Y$ z: R1 s6 B
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。' E; p  y4 ?3 h4 L9 B- k
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉; |6 L/ q' t3 a. u6 b
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉' p7 c& _; J2 r- |( N
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
) B: ~3 ~6 I# o) R% L) F, V+ g5 g/ R, f3 V1 s
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
* _7 u0 S& d' e6 X
8 ^/ L& l9 l' a对于后遗症的处理方法如下：
$ f. Z3 ~* T0 n5 w% X& f! w
) d: |; u* R, j+ ?方法一：' x6 v# O4 d! {  _7 @; S

4 D1 |" Z  y$ s% G- r# r1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）) Y5 l7 V1 \, C2 X/ a
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
  t( k+ a! Y1 O1 R/ Y7 {; A3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！3 y1 S5 y9 w3 g( M+ a
2 |/ U6 l. Z/ \* y, c  r
方法二：( D( {8 l# H8 O8 [5 v

  T1 _7 p  ?" H8 H2 w1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）; J3 D7 r0 t4 _9 h+ @
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
1 l; _. r- `  q, _) n$ R3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
- }9 `3 Z! z7 S. c! q4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
+ J" m( V1 B, e' o7 f. w8 h5 Z% j# w
到此，该U盘中的幽灵病毒全部清理完成！
* A& W7 e* I$ h$ E# y$ N, g, f4 x0 \
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊" X+ [& J- o- T7 q4 f) S" s  p4 A
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先  @7 P7 r1 |6 i* ?0 G& J+ S
4 H: F: c$ Z4 ]9 t5 L
主要是没有中过，有时间发个病毒样本来研究下
4 k3 i/ O; c. d4 J% k
9 c8 y! X; H8 L* [$ |0 M5 g还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的) |" ], m# x- ]
) N( `# Z# l0 \+ U/ o: ]" n. A: E
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
0 ?2 ~7 U1 N+ V8 T; x4 p9 c4 s; C0 J$ \2 w. M* Z4 P

柔肠寸断

对了" E+ d& O+ H4 Z6 }/ g, F

  h7 f) [# {! }3 d: r# ]7 l问问大家  ~# a0 b, ~' y( H" P9 x
. T# n  k' `0 R3 r
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的8 G% _$ K* B6 n1 ^3 f' o6 f3 c

& b" G/ c" h1 ~3 f) g# v1 K# H6 c" K' d" a$ H6 A- [
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
( Y9 k: c" m% [0 H2 `( l
9 t. U3 {' O3 [) }     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
( U+ P" `9 @* f; Z     假设 g盘免疫 (g对应u盘在电脑上的盘符)
( C  R2 Y  D3 o  S2 `/ v  Z% P+ k- X9 v: r( }% o; a5 @) a1 S5 n( S  L  b
==================
, i- y6 Y0 F: Q, n# c; g3 G1 P0 ~5 }: E2 I0 g
      pushd g:
; ]" @+ Y! M5 W+ h) f0 W8 u      md autorun.inf                 (新建autorun.inf文件夹)
- M& S0 c/ n/ J" @- Z       cd autorun.inf                  (进入autorun.inf文件夹)* }! M6 M+ }! E) }5 W8 B1 p
       md abc..\                      （新建免疫目录.文件夹）- P  B( ^- H5 _  R3 @% W
       cd..                                  (回到上一级目录)
8 u# ]; S) d8 k( [& @        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
. d: f$ ^# W- E" n+ v  x4 E9 e: d0 ?1 |% z- e$ Y5 K$ I( t
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的) G: n+ M3 [$ w
% B2 v* C, i: I! x3 A) L9 k
我忘记差不多了4 T0 H0 A9 F1 x: K1 P+ t3 b
7 ?* |/ p9 s1 X0 |0 N  V) z) T
上次上网找倒的