[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]' o  T  _4 A9 ~0 D. i# j

3 P5 X5 c8 P+ z9 b3 v6 d$ Y信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
: @5 J- f! \, C# o$ u( e
3 N6 x3 w4 `6 Q
, |0 b9 ?6 A, T( `& U! |最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
$ D1 k! i6 e4 r
! h9 t! e" c" F' {% u: g注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！' A' S3 _1 b, B* d, {! _/ \

! E/ ~+ U  d( D病毒名称：幽灵（ghost）
9 Y$ [2 u- D" }
* V7 X3 G# o% w" [. [* [* a7 w病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe7 N* A: J5 D5 h

! ~# D6 P& b9 X" R. I如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
8 s  v/ T; z! ^' ]# y* {  g8 q1 s- c  y
1、将U盘连接到没有中毒的计算机上。2 a  }; B* t2 e( W& z
2、使用资源管理器（alt+E）打开U盘。
* K4 g% F$ s. `# C& @6 b3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
3 F) G6 [, M" ]1 X4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉9 |& o7 T0 Y2 y5 o2 U6 J( r* |
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
5 _1 p$ Y" S  e& n5 v: m3 @以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。/ c, a% E+ I* [6 Q+ S& d  @. {' ^

3 @8 y0 T) D" f) V+ V- u& f- r* A后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。  U4 s  O2 I# A( _/ @$ o6 Z" C
4 h8 q7 I- `( [" |
对于后遗症的处理方法如下：
0 v3 a0 v3 r- l
6 j$ F. D1 g4 R方法一：$ m0 Q( L; q+ y# o, Q! f

0 C* F  ?  |+ u1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）3 e; w$ ^, f! [3 t1 ]* g& x
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。* ]1 ]$ H" ^# U. f  f! i1 Z1 V1 X
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！2 Y+ G4 U" I, A2 A: Y8 p( D8 p1 b

) D4 j# [- h; U- V, ~# Y9 a) Y方法二：9 A( w- V( l5 k! R9 U

& @& t' `% i. B3 I8 ~) P7 u" c; A1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
( F% j8 P4 o* T8 }$ v2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。: u% H, V2 g, g( U' d3 a9 S) f5 ]
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。5 X% j& V8 O: M( |( V
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
  d2 z$ ]+ e8 [2 b5 x" t0 A/ t" U( ]! N
到此，该U盘中的幽灵病毒全部清理完成！% ^  Q& T/ a% q4 ^; e* {0 J
" P1 n! f/ `/ P7 a2 y
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
, Y6 I' k& h4 a' M! J4 J  L问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
  N* r8 }) O+ U6 Y( X7 P/ J3 i" W* `5 V  J
主要是没有中过，有时间发个病毒样本来研究下
; P+ i$ |5 [6 I2 t0 I5 ~
8 O  H7 e& Y: L* }7 R还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
, ]/ G* @( q$ @& z; g- A4 u1 s" t  \: \
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了0 N0 P5 f% d5 v! \$ q; ]9 ~! t
5 _9 W* o9 e) ^1 m

柔肠寸断

对了
& d; I8 G! `4 ]) F9 e  h
( ~- M! t; W( v, ~( I# A- ^问问大家# f( i1 W, m5 N1 k# G/ q

" a; Q$ I/ V1 O- z( ~这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的9 k% U+ s2 C2 Y

/ Y; ^) l* v' Q: |  G  u) z$ ~: m1 g1 M7 P) {4 a* }
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：# F! x3 w6 m( n; \2 Q6 }

1 d( W$ J  z: ~1 D     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
3 l* ^) i* i9 D! G# i  ]     假设 g盘免疫 (g对应u盘在电脑上的盘符)
  k$ F; x* l5 S$ Q5 ]) M2 o$ E% j. O& ?  |9 l' F
==================
* S* J) v. t. c) Y  ~
5 O% Z2 ~' d& e  Q3 v) |+ K! K      pushd g:
5 E" ?' \6 L' y4 |5 i6 W      md autorun.inf                 (新建autorun.inf文件夹)9 Q  B2 X' _' \
       cd autorun.inf                  (进入autorun.inf文件夹)
- T9 G- g9 E+ j. I7 h9 d, {       md abc..\                      （新建免疫目录.文件夹）
9 ^/ A1 p2 G3 u, U       cd..                                  (回到上一级目录)
$ e" n) T4 h8 b$ z        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
% d0 g8 ?! g7 h3 Z  V0 s3 O, `  ?; ~: k& g+ {
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的+ r) {& }# t* c3 ]7 u2 H

1 O3 f0 G% R' T2 r* ]我忘记差不多了
) t8 x/ `- l" ^; }8 }( w8 {7 K9 Q, ^7 X. l( h( b
上次上网找倒的