[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]- f0 J4 X" R3 r! Y0 V& y* {

% z8 ]$ w( w1 E5 Y$ F8 Q信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）3 v7 O, v1 `% V! H% s% U/ t" c

( I8 f; p7 E- s5 h" p  _4 e7 E
1 i0 P4 @( Z9 ~( o% o8 g最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！6 d7 z0 `- _+ @% u
6 U, G) v6 C" |. A
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！$ i* a, q6 P; b/ x
8 |4 |) j4 t$ B" D" g- s' P7 k" H
病毒名称：幽灵（ghost）
9 L; G9 i" \) p4 ?; i; @
& x; t1 |2 j' W6 @. C7 |病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
# D/ p0 n6 o9 w
& Y$ w2 ?1 d3 V; m# N! K如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：8 [1 V# M8 S- u( k+ y. R+ N' P/ s+ z
7 Z; A' Z+ g0 t$ M+ ]& T
1、将U盘连接到没有中毒的计算机上。9 T- B" H, i- `) q" s- [
2、使用资源管理器（alt+E）打开U盘。
7 H! D  v# F& u3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
7 H% K5 V) Y4 L8 A3 O4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉" x" i/ ^1 k$ b( u
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉7 |7 _" t# {+ N& l9 f/ _& Q7 {
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。+ g! y3 H  F9 B2 B: H" ^# |# K+ ]4 u

( M, o3 }( N5 g9 ~& z1 Z, ^( K$ M# \后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。/ \3 N5 Z- J' t3 w

; T( x4 S! e' m7 n对于后遗症的处理方法如下：
3 c* m  N& J8 m/ V% U5 V% _9 f' C7 E) c, P- o$ v) r- y9 ]0 z
方法一：
, u7 w1 d, z2 w6 Y1 x9 w1 V# j4 U2 ~+ |  {7 L
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
! j( ^; l9 l5 W3 _2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
3 j0 |) F2 |8 @- v# B5 D3 T1 s: Y3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
3 |( i% n3 d# Z1 B$ \. @  E8 D2 |! I: X9 T8 C* i, A$ `' i8 b
方法二：( v' b1 w( A+ J* i1 M% Z  p

; X$ z5 I# N9 q, v% T, ~1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
' S1 @. z  Q" A7 f( R7 ^3 J  R2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。8 b4 R' W% |* [4 _7 [" s0 Q
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。% d: g( [2 e- W/ L9 D0 `2 o6 e$ h3 t
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
( e/ C6 V/ ?& C. s" ~( D! R" j9 \
( |& ~3 |% b8 E  o* R到此，该U盘中的幽灵病毒全部清理完成！: x2 p# h. [2 B0 d- @& J- L

0 z' f+ U4 E4 Q: _( U- {[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
) |/ G, x' B# K" J. i6 I9 x问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
  I: x6 ], V- x/ f$ z& j& x
& K5 F+ M$ A' R& }- U+ D主要是没有中过，有时间发个病毒样本来研究下
1 y9 ^5 C4 e  P. `3 k. r7 d( }- u8 C. `+ k- r
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的  l8 N5 u# X) t5 A. U

" x" G6 v6 q! l7 g1 U) C并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了7 r9 x( o& m! O  T- |& J  \
0 V$ B0 n, I1 E) ^) [' `( V- T9 T

柔肠寸断

对了$ x" T/ q8 i9 o% g" G* k+ {
) Q" X/ m; k, V) Q; W
问问大家
" p. B" @2 h7 \7 {' m7 U, @/ N$ }6 }. [- i: Y
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
, i6 q8 ^" n: x/ `$ @! h7 T  [0 N* I/ x: t% G' N* j
+ h. V( R& m4 r  P
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
$ S, N: H3 O: @
. M5 [6 l7 e/ e, h& ?     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）% m, m8 T4 g% H4 H  c1 `7 R
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
- ^' B9 }( Q9 t. x
* C; q5 r3 ^- E) e* K1 @* g9 w7 G==================
5 [" L8 U, ?& U1 b3 y' T! P
& K1 k! l" l& ~% S4 T4 t/ \      pushd g:
; q. y" R' A0 v6 @: m      md autorun.inf                 (新建autorun.inf文件夹)  k5 e7 f# g" _6 L  ?. S. I' g& K: K
       cd autorun.inf                  (进入autorun.inf文件夹)6 k; f9 @/ O/ Q% k
       md abc..\                      （新建免疫目录.文件夹）2 b9 H/ R- P' _. c: T# y
       cd..                                  (回到上一级目录)
0 z8 s4 l, d2 Y% m9 {        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)6 C/ Z- O6 A7 g- D* ?( P

% C( l$ c" F7 u/ j＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的1 z* A7 Z1 w& D& Z

7 Q/ o0 t2 W7 K+ D5 B8 p& }  i9 n我忘记差不多了9 l& r! m3 z3 F! B5 L2 E5 S( O
% J6 Z+ j8 j' ?4 }
上次上网找倒的