[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]9 i$ ]" u' u$ \- u- u
* f) Q9 G& k+ @2 _
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）) O. ?0 M( }& |

0 c. B. x- F8 ?8 }9 J' ?5 V
0 r; o8 S1 h+ o2 ^. h4 t最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！$ F, c  f6 h- m: V

0 `3 h9 ?# b7 _+ ^& p; q9 j  g) T, m9 V注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！9 _; u( N/ z) x2 |8 g

: ^9 r4 f3 _1 {- D) _病毒名称：幽灵（ghost）
! g* \: Q& e0 l6 p! n; `! o2 u! s3 k- E) G
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe* F5 I% [: l1 i

$ a$ \! Y: z5 ]# i/ q# S5 s6 o如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：' P0 M8 a& K+ H, Z
7 ]; D$ h) `* @9 K  c# D* ]& x
1、将U盘连接到没有中毒的计算机上。  p9 s* x1 q& X
2、使用资源管理器（alt+E）打开U盘。* M1 ?8 Y/ I- @
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
! ^; G% j3 g( k% M4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
, F0 ?& ?8 |; x* E: y5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉' o  g) y- |- g* j: s
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
$ D9 {# D# k* f5 k
4 \2 x# R! z: f  p* n0 r" |5 ?! @后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
0 p6 z! l6 O6 z" t) _9 l
9 \! z& t! k: c" \2 o7 `$ Z# v对于后遗症的处理方法如下：& D# e" ?& Y( ~% n
" j. f1 G" b3 A# s
方法一：* @, d' B$ ^/ D
! P/ }4 ~# Q' @, D) H
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）# L' l+ g8 ~4 B8 |& W) F' i* e( E% p  @
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。) R% I3 t  _, X
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
+ O) \9 _( }$ |  a, ^
: i. ^4 A# X/ f& f方法二：* F" {0 D2 L, Q$ ?7 i9 v) y; y

; i9 h, v8 X3 A& C, Z1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
5 P9 O6 \0 s+ ]' z2 h2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
8 `% T* l7 x  ]+ j3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。. z; ~/ m8 n" q3 b
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。1 m3 [, b6 q0 {3 Q+ o7 I

7 }+ u! ]% A* }! W7 H* O0 t7 n到此，该U盘中的幽灵病毒全部清理完成！
- R4 G; {! T4 n& b& w
" _' @' w$ K' Z9 E7 D[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊  X2 w3 a2 @: U) a1 r1 z
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先* X# E6 `: q2 j2 ^3 U- a" j6 e
1 t) s* {: [" u1 d2 R) @* X! E
主要是没有中过，有时间发个病毒样本来研究下9 I' {+ R- ]- y

1 n0 Z: \0 a# k还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的+ Z& b: i$ L+ M
9 B$ i& z9 {( o+ @, T2 g
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了7 L1 x6 x) c7 y; v, D
% n& n/ O: L8 G$ A) F) }

柔肠寸断

对了
' W8 W* F" e9 ^' g6 P/ u: H% I. S" w" ]* n4 m0 E
问问大家
9 q  e: n/ k. g, f7 D6 R4 K5 x; k& L' B: Y, P/ h# y& ^$ a- R, O- K! C
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的! _% z8 L, s5 I3 x

8 _3 ?; Q5 W- J1 M+ G6 @! R& h0 H6 ?7 k
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
: k0 i1 Y, n' i3 u! Y  N* G3 f8 D9 k* A/ G0 E( X
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
% p2 {  t: ?+ c7 k8 {" F     假设 g盘免疫 (g对应u盘在电脑上的盘符)* }) q% B; B( t& U; \
" n" O, H9 o6 x7 ~5 @+ Q$ W/ x5 P
==================: [1 f  b( w# j- b2 ?1 z

, x4 X# n: ?8 w) [& Z1 P      pushd g:
: Q6 p0 T8 x2 x: K/ i      md autorun.inf                 (新建autorun.inf文件夹)) e5 s7 K1 X$ q" Q+ K" A
       cd autorun.inf                  (进入autorun.inf文件夹)) C6 q0 @' D! y1 l$ |: G7 ^& R. X
       md abc..\                      （新建免疫目录.文件夹）
$ l& e, A1 H) \* `       cd..                                  (回到上一级目录)& q8 g; c% b* L) T
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)" T0 f2 i9 s# l& S# j
8 }) x2 F4 U/ x' O/ I2 d0 o
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的/ ]& I$ a7 T  g
* _+ @( @% k% B) `
我忘记差不多了
- z. ~% X0 K, [
5 u- W3 T* {$ O6 h8 j5 j: r$ L上次上网找倒的