[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
, A8 v* h5 m  e
5 x% X  t4 s3 C$ ~信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
: ?% c1 Q* E; P8 }/ M
: E5 k4 @# G9 k* i( w  N
3 p9 X, M9 ~$ e" i8 b. |最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！7 [6 R2 l4 ?& I) h4 B

# ^$ y( ^5 `4 v. H, {注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
: x3 \* L: _/ ?9 H  {* e' J7 x) P
病毒名称：幽灵（ghost）7 e& s! c6 i2 ~9 T% I
& M, @% Q0 f" {8 b# O- }. h
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
0 e$ f. C* E! Q1 }# v+ R) r6 A7 Y7 b
, k$ t. r# a) v- i3 j如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
. U8 ^& i' e$ k6 M9 F& v* L; M( \& d& z' h4 a; c- M
1、将U盘连接到没有中毒的计算机上。% H+ m, W0 f6 D& _- X  L9 O
2、使用资源管理器（alt+E）打开U盘。* S) |! n; A- w/ F8 t" s! [
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。) {! A% \6 E) K/ U0 J
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉2 b9 X1 Q2 b9 ^6 m& A
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
# N6 m: h, _0 S$ s" A: x4 Y以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。4 z7 r+ z3 r; [0 C

2 E% K, Y6 L  }. \2 X3 [# t后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。6 N- G& g; B2 a/ g/ L! }

8 S' Y& E" e4 O: V" L对于后遗症的处理方法如下：: n% I+ F+ m: v/ F! Y3 i( j

9 h1 ?8 V3 Z9 [% @" K方法一：: {8 ]0 W5 P! H: l; g5 a9 b4 C
6 X8 Y6 ^3 z% j4 O
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）& @8 r8 ~7 t: t1 q
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
4 C3 p: M1 e, a; V5 h, E$ X3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！. S4 W3 G# d0 e. a* x

9 @% P5 A9 @1 M' I- t方法二：7 a7 ~% M+ M9 Z6 I7 E6 L: M

0 t+ J  t7 V# F1 P* h1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）& J$ K/ E8 `; }/ n) \
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
" M' E& T% N' @, I$ z/ i3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。* V9 C/ _! b  _" ]' i% p& \3 o
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。4 k' @8 f4 Z; n: }4 B5 ]

# a7 m: x: ?# P5 f5 J) e6 e$ b到此，该U盘中的幽灵病毒全部清理完成！6 v' L( ?) z0 c( v2 h
2 p9 k4 {  n# T7 I: C( \- F
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊& o8 K2 h6 |8 q: O4 q5 q2 z4 q# u
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
1 Y- u- N, v! o, ]- v. w: q+ z; l4 ?; c+ e$ @
主要是没有中过，有时间发个病毒样本来研究下4 a5 N  w* G2 u/ X' _7 S! Y: x/ [( ], l
" X- Q% T  R; P% o
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
- @1 r& D  i7 V5 Z
# I4 [+ @+ \& E! t( r) E并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
. ^- y' y! H$ |, A& y9 i9 V8 {$ e

柔肠寸断

对了
- N* S+ p: u7 j$ [, C: y
" D2 V) U& q* V+ r/ G" m7 I- p' {问问大家
# I( n' n; _6 \& d& U
7 r7 j) Z1 Y2 ?, T& k/ @) g* s这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的: a+ f0 {& I% r" y) n& \7 V
; d! I) V1 U, O; A

  j+ t+ E6 _1 o- ^  D( P有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
: f2 n. a/ g$ V& S
3 t. ^" R# i3 T0 d     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
" o9 q7 L  D( {! m: Y- a     假设 g盘免疫 (g对应u盘在电脑上的盘符)
' I* R1 E% I! \8 M
- \/ t- t4 z) c7 z==================
! r  P9 X  x* U6 C+ ^% l8 u5 G
$ G; D$ X- E4 |( Y      pushd g:
8 w: o" T2 k: Q* [! x      md autorun.inf                 (新建autorun.inf文件夹)
% `5 W3 f) f3 X: m# p- [       cd autorun.inf                  (进入autorun.inf文件夹)
' \% ^$ s6 H: S       md abc..\                      （新建免疫目录.文件夹）
+ `4 I6 Q, H3 Y6 E2 z- K       cd..                                  (回到上一级目录)
! f+ k/ }& E5 _- @  H3 {        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
( l* I* T; l, F% L$ w" u0 a% u/ E( ]
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
/ q" R9 k% V2 X; d5 X$ O* x
/ ]/ d- x) X* b/ ^+ `9 R- U我忘记差不多了; S3 D  l7 W% Y

/ [! }0 q. [! O+ f, n. S上次上网找倒的