标题:
[原创文章]
对于U盘内永久隐藏文件的处理
[打印本页]
作者:
saitojie
时间:
2008-10-11 12:22
标题:
对于U盘内永久隐藏文件的处理
原创作者:saitojie [3.A.S.T]
* E! `! g) a% H4 `4 }+ [1 G
0 ?8 A4 L7 @# L0 \
信息来源:3.A.S.T网络安全团队 (
www.3ast.cn
)
5 g! s+ @+ w0 e
% ?8 K, g- ?' @) G b X3 t
! y8 {& I+ v3 ^& [
最近由于工作繁忙所以帖子发的比较少了,在工作中遇到了一个情况,我的学生U盘中毒了,而且是大面积中了这个毒,天天帮学生杀毒,杀得有点累了,不知道坛子里有没有人也在被这个病毒“迫害”,下面说说我的一些处理方法!
$ J9 z+ X5 i% P
$ w0 L7 Y0 |3 o' |* R u
注意:我的查杀方式仅限于计算机没中毒,但是U盘被病毒感染,如果阁下的计算机也中了该病毒,请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件!
0 r/ U9 i- f# f9 d R' {
" A' Z( @0 u2 b6 U9 b
病毒名称:幽灵(ghost)
9 B% n/ @/ L, L( u
$ m% w$ s0 W6 \( Q7 a. E
病毒现象:U盘内所有文件夹被隐藏,并且在U盘内生成与该文件夹同名的文件,文件图标与文件夹图标相同,后缀为.exe
7 d# F% U: q. w* {
3 r2 O) G( W2 D2 i* J
如果您的U盘不小心被这个病毒感染,而您又苦于无法将感染的文件夹还原为最开始的情况,请阅读我下面的方法:
9 H/ i$ h/ @" C3 w5 n( |* T
5 S& ^1 C. o0 {7 _2 f ^
1、将U盘连接到没有中毒的计算机上。
b6 C1 K! j5 T4 R
2、使用资源管理器(alt+E)打开U盘。
: g2 m: |% O$ E/ F- ^2 l4 _
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀,此操作在【工具】-【文件夹选项】-【查看】中完成。
* p. T" j x ]1 U0 d# L
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
6 g Q. r! T5 n' p
5、将U盘内所有以.exe结尾,图标为文件夹图标的文件删除掉
; L7 o) g" b9 L7 S* S6 S
以上步骤相信是大家都会的步骤,虽然说这样是将U盘病毒清理干净了,但是病毒留下的后遗症我们并没有解决。
4 @8 n9 f3 w, A
, [3 R8 X! {- B& S" i+ S0 ?8 r
后遗症现象:U盘内所有文件夹处于隐藏状态,并且对文件夹属性进行编辑,发现【隐藏】选项无法取消。
9 m$ r; r: d6 q4 }# {- {- {8 P
# d) t$ j( p. s" F& \, @
对于后遗症的处理方法如下:
4 l: R3 K8 Z8 `, t7 I
9 i4 s3 u+ [& Q9 E+ }+ x- M
方法一:
, E% {" n) V! ~: b6 ^
4 b' J( T4 l& g- Y5 k
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
. ^ O7 {4 `' g$ s+ `, V: A
2、进入命令行输入如下命令:
d:
attrib /s /d -h -s *
复制代码
发现文件夹属性正常。
3 Z2 R' z+ m! p% W' r$ U+ C
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内,后遗症就没有了!
O4 q" |4 F+ `9 M! ?
$ R; y4 }6 G( D+ z8 U
方法二:
1 M: {1 X7 U2 e/ _& K
6 ~+ K# h8 @4 Z& e& r9 R C
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
1 a3 B' M/ ^4 L( [. T, i
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】,任意选择一个图标之后确定。
4 h1 a% y' v( A$ _
3、再去查看文件夹属性,发现【隐藏】属性可以去掉了。
* L7 k) q# f& t) V
4、按照上面的方法对每个文件夹进行相同操作,操作完成后,再将所有文件夹剪切回U盘即可。
, h2 Q$ [9 j& [/ V( o$ k" J4 W$ t
! A1 R4 V- a5 f9 O
到此,该U盘中的幽灵病毒全部清理完成!
8 q6 X1 g( _' X' E d S6 h' G6 W
9 C& W" l9 M0 {$ P
[
本帖最后由 3ast 于 2008-10-14 20:26 编辑
]
作者:
wmmy
时间:
2008-10-11 12:40
直接用软件对U盘免于啊
4 }/ M# N5 `1 E( {2 c9 L
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧
作者:
柔肠寸断
时间:
2008-10-11 12:42
这就是昨晚群聊时说的幽灵病毒啊,我来看看文章先
9 e2 e1 ^3 M. J+ n3 g( I
& E% s7 b9 G9 {. p5 `. o/ C
主要是没有中过,有时间发个病毒样本来研究下
3 K# _0 E/ G( c- L/ i( ^; K
4 _ j3 Z2 n* h* |( V! k" I# X
还有就是连接没有病毒计算机的时候注意不能自动运行,而且要是安装了360的话,360会直接检测到autorun文件的
: g. y7 Y' S G2 a) @0 D" z
' h0 W" y |1 h- r' \: Q
并且直接删除autorun
作者:
saitojie
时间:
2008-10-11 12:42
那要看你的autorun.inf里面的内容咯
作者:
juchong
时间:
2008-10-11 14:26
以前也经常碰到这样的毒,后来用了USBCleaner这款软件,就好了:) :) :)
作者:
wmmy
时间:
2008-10-11 14:37
标题:
回复 4楼 saitojie 的帖子
z这个是我U盘里面的文件那个MAYI.是我自己搞的, 汗 忘记删除的命令了
6 f, D! R1 A1 j3 z; w# Z
( X; R* f" ]. i0 k$ \
[attach]543[/attach]
作者:
柔肠寸断
时间:
2008-10-11 14:55
对了
+ i& q9 g9 F& e! B; e( z
' H9 C0 v0 j/ ^. p9 o# D+ m
问问大家
) v) t+ G& E/ b+ L: O+ M: P5 E
- c( Q: ~3 N% r, u5 p+ q; D
这种免疫的 文件夹 是怎么建立的??我忘记了??
作者:
柔肠寸断
时间:
2008-10-11 18:12
知道了,方法是这样的
) a1 V; D T8 c8 {$ k
2 Z1 J$ W5 P: |8 t( Z9 M
2 d/ f$ @2 G4 N. F7 J! Y# ^
有一些高级、智能一点的木马,会删除你的感染文件或者目录。为此,可以创建一个同名的特殊目录,并且在目录下创建几个带..的目录:
2 B8 R0 |% K1 W J2 y1 f$ T$ `5 p2 t
; C7 c1 m: X- Z3 }$ ?
在开始菜单运行里面输入cmd,输入下面命令(括号是注释,不要运行)
5 Y( s& m' U4 @3 H, d
假设 g盘免疫 (g对应u盘在电脑上的盘符)
# C e: z j5 Y8 Q. |1 c @
6 }0 D* z0 k! n4 g
==================
3 }/ }" T8 {% d2 J# w2 C6 T& D [
/ R0 ^$ R2 e! {) q4 u6 v% ~4 m& Y
pushd g:
% ?# u3 ^0 w! B" z7 w5 N4 w
md autorun.inf (新建autorun.inf文件夹)
; p- i% o" U9 `0 j" k5 p
cd autorun.inf (进入autorun.inf文件夹)
9 }" K8 g- P: U5 S) O% C
md abc..\ (新建免疫目录.文件夹)
# {# o% f) D6 I* w$ F! \3 t
cd.. (回到上一级目录)
5 Y! p+ ^. v( g) t- |' z& [
attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性,或者按步骤1设置权限)
# I2 A1 a. ^/ \) c2 b* v5 p) I* V" D
2 O9 z0 Z: A' C3 e9 n: Z6 N6 p
===================
作者:
saitojie
时间:
2008-10-12 00:56
删除的命令好像是
rd mayi..\
复制代码
记得有个隐藏的强制删除的命令的,不过现在忘记了,你看看在最后加上参数/F或者/X看看
作者:
柔肠寸断
时间:
2008-10-12 07:58
标题:
回复 9楼 saitojie 的帖子
对,就是这样的
7 D- T9 k% H) i2 {, i# n
% z6 {: @ E# G w
我忘记差不多了
: `; \- V7 g5 I' d$ ]2 B7 Q
: z* q9 O( u+ y$ p/ e- \* V' ?
上次上网找倒的
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com/)
Powered by Discuz! 7.2
