[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
% a4 K* O/ m1 B, [# N4 c/ e, x& W9 K2 G4 G: @, N% U
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）3 K3 R, n9 x/ m1 P

9 c  m& o& p6 s; G) s, _  u2 @0 t# |
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
# Q' K  J9 h' J/ g2 p# Z9 ^& p# Y' N% M3 G9 b/ W+ D
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！) {9 U  S- h' |. [+ s0 F8 Y: l

7 q5 B, \& M8 o, y& `0 p病毒名称：幽灵（ghost）5 {, K& S3 x, w& ~, ?5 h
# e+ \1 h2 m3 u! U+ J
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
" _3 Q, {6 B9 [  R8 m
2 s$ t) K+ w, X) z如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
2 ]7 q! H& T/ N# |  b9 J6 w5 K) G
1、将U盘连接到没有中毒的计算机上。
- H1 R3 C( k9 P9 D6 h2、使用资源管理器（alt+E）打开U盘。8 e* N. C" z; L( }- {& F
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。' n1 u% G( y$ N9 r( H1 x1 l3 ~
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
3 N; C, y+ y# W: g8 i3 r; F5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉, m$ y  Z  G2 o
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
% h1 d" R4 n. l& y" J0 U+ @7 S* o, ]5 g2 n
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
' D" M0 d: f. T' \3 Q8 ~! C, c; c  I0 W9 m! ]" d/ K8 H* n
对于后遗症的处理方法如下：
8 B* L% p: U" G2 Y) V- ~! v5 d+ Z. L( }* b" Y; P6 s
方法一：
# ]: |9 y, r6 @) H
1 R; Y0 Q2 b9 |) L3 ]7 t( O: o/ w: x7 K1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
( M2 p# r* x% b! S* D2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
7 C: u) y3 e6 C) T1 m3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！" ~+ k3 }+ W" ^+ ]% }4 S$ |

0 C( a$ M  S8 X方法二：
$ S* A, v/ o5 q; E" F; t4 n- O: y  U5 d/ ?; d  W" x: U+ c0 l
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
: ~. W; [5 h' [# |- Q2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。) I8 Q3 S- I9 N' u
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
& b5 C0 [* {8 P* j$ T' w4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
7 a8 D" r6 q! R8 w8 B- k# q1 S; |5 O) L* l
到此，该U盘中的幽灵病毒全部清理完成！# k! O/ C! I7 d. I/ J

" u9 g% R0 [4 A! A  F; m[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
" |6 D! ~, I5 P3 k$ Q3 W问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先- d! b3 P+ E7 E- v# ~% D2 i. x

3 Q/ c" ^. y4 {2 k主要是没有中过，有时间发个病毒样本来研究下& W+ I% [1 e$ s. s' Q7 ], f. U
' ~# Z; T' ?; m$ v$ E& \- }, C
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
  @5 i, k; a2 k8 z- E7 c9 \) F* b$ n1 |7 @7 e/ F& |$ ]" m
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
; m9 Y8 h1 b  L+ m4 w2 P6 K" i! p7 D& L0 w+ h2 v

柔肠寸断

对了
! I8 R2 \  s* g2 c2 X5 b
' k8 v8 q" g( h4 M3 C% q问问大家
. [) {7 l3 b& |" @0 v4 L, m$ W$ p( p. R, V; ~
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
8 x  H: M0 Z2 f2 X8 r9 `
7 ^7 \2 r9 h4 r8 s
- u, p& ]+ u) M; p! z有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：4 I5 i" s! {; @/ r7 n/ f+ r2 Q
) z0 p7 P% {1 V  D  r
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）% ^+ x3 K* n7 Y+ @+ j% P3 P
     假设 g盘免疫 (g对应u盘在电脑上的盘符)) n" \7 r& M" q; ~1 j; E

/ P0 N! [6 s. m1 z* I" x==================; g+ F4 v5 a& S+ ?- w  n; g+ E
5 {# d0 B' H* s9 a/ Z
      pushd g:1 }3 I5 M1 e9 I2 _" y$ T
      md autorun.inf                 (新建autorun.inf文件夹)
! W" c  I# \/ r" ^2 @       cd autorun.inf                  (进入autorun.inf文件夹)# @5 v2 ^) J% F0 i
       md abc..\                      （新建免疫目录.文件夹）+ R+ O/ b& \+ l9 e
       cd..                                  (回到上一级目录)- M1 I+ `% c6 e, m8 @
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)0 P4 E4 e+ q5 G7 A, s6 u' N

2 s/ L. v' Q+ t* B: m0 w; i＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的1 v5 z; k) J  ], d/ k; e8 l

( R9 s) m. i% t# }我忘记差不多了; n3 ?2 i: ]5 ]9 [7 s) |7 G1 u

' v+ P2 O" f1 m$ @' \$ n% w; A/ ?9 b上次上网找倒的