[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]7 n; }7 S. h; ]# ?6 O
: L1 k$ Q$ D0 J/ f! `
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）# _; X) E) y, Q  x

/ D0 [" j6 X+ X. E/ w! ?) q
" I5 m# Q7 ]( o最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！. b$ U7 e8 i1 g* |; ~1 N  ]( L
' J5 y- J# n  p6 L0 Y
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！( n6 D4 T( [; a, V  J* @

, V7 h1 |6 F: J) y病毒名称：幽灵（ghost）/ g9 E% ~) z! R2 T
4 [, D* k, k: N( ~" m: D
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe  }5 p& c" D! l5 r. K

8 x3 X4 M# m+ j% u如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
$ o5 f2 C  R0 o2 ?0 j6 v; k# m: F/ S9 y" R% @6 Z1 ?% Z
1、将U盘连接到没有中毒的计算机上。
  d5 l0 F! ~4 a8 x0 N* [5 \& s; `) u) @' J2、使用资源管理器（alt+E）打开U盘。
1 ^( @& v4 Y) n' `) _: K) \5 _3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
. @& V- |# w& j; h$ D- K% l4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
% I: T' z3 w2 s# J* m4 h1 ?. B3 Z( N5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉* e. ^) A" U4 ^/ O, E
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
; A; O7 G) {# b4 v) ]' \, w# n/ P
: T( C3 K6 \8 Y$ C6 E后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。& ~" F& f0 q4 d, H6 \8 r0 @
2 L+ @8 l! a6 l9 p5 L5 y/ c$ Y$ L
对于后遗症的处理方法如下：
% N. a0 W( J! e; g: ]
8 q0 y1 e/ Z2 @  p+ C: b4 v方法一：  z3 s& e5 W) g% s

3 \$ T" L2 f! |$ t  O' Y0 q* E) l1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）7 B, v7 j! I$ i- f- A5 }6 \" u/ J
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
1 y3 c% |3 [3 J; y3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！+ k4 _8 Z5 _. k" B- \5 O0 y
  Q; n1 d- f% q0 ~  [# p
方法二：
8 p" w' F  z1 R. f  h9 _, D+ ?
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
! h7 W4 h! @0 L2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。0 \2 w! G2 x5 n! t# {# j" t! d
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
4 l! Y- [- P8 Q: _1 h8 Y4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
* U/ ?. b! Z" g3 W2 B* X* P; b& S
到此，该U盘中的幽灵病毒全部清理完成！
7 B# K* ~5 {* b& P. Q; _7 d) @$ D. C4 E2 o
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
6 |& m7 Y  M& g9 S' A1 Z问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
* s, ]* k$ q  l& y+ j0 Z" W- v
7 ~, |# E6 U' T$ ~  _主要是没有中过，有时间发个病毒样本来研究下$ M3 j$ l1 X; `( S' P1 I3 F0 f

: G5 p; B+ e. R# w/ u还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
; t/ R4 G; C# F% K' [* j
0 f' \* ?' Z7 X: |/ M# p并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
7 z) q. y) _/ ?" R$ ^1 q/ M# B  K/ {# D+ Q& p2 c7 G% Z, v. u5 |

柔肠寸断

对了
; j9 q2 Z( v4 J) b5 F" y. I( y
6 i- R( `9 R- @. ~$ i. t问问大家4 p" _  |9 F) \5 W+ {
6 r% _# x* Q1 N+ N; y0 E% i$ g7 u- ]
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的( r  Z4 Q( q3 y# z5 ~
7 \& h( j! c# F" q

3 M4 F- |  N9 @1 B有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
' ]* n3 b. y% b! ]
6 t/ P* _# }( R6 U( N( N     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
& V% b, y% Z" I7 f4 Q     假设 g盘免疫 (g对应u盘在电脑上的盘符)1 }& ?, Z" D$ _  T

* P. D' e$ B* A# `- Q  Q==================% b6 [2 I, J1 b# m. Q

9 m' L" W) U9 b5 ^7 X      pushd g:
7 z( {% F3 N! p4 O  g      md autorun.inf                 (新建autorun.inf文件夹)
7 V$ c( c+ [# l0 t" r       cd autorun.inf                  (进入autorun.inf文件夹)
# p- P3 N0 {/ j+ i& c6 |       md abc..\                      （新建免疫目录.文件夹）
9 M% C8 A0 D# A) y$ x       cd..                                  (回到上一级目录)
3 y# L3 W8 n% J+ G+ D+ x( ]% G+ S        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
$ l, N8 W" h$ i" k5 D
% [) e* Y& p' @: Z＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
% e8 ~  e( w: G& E1 s2 [* v: z: z' s& L3 l! x
我忘记差不多了- H9 P9 s" L; n/ g4 @! `$ t+ F
, x" Z, S7 Y1 k: m
上次上网找倒的