[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]* v8 B' e, {2 }. C  S0 [5 X
* j$ a9 a, `( P
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）1 }" c+ b, J, z4 @

5 R, O& t% V( o& G8 S" e# t+ K
" |2 S# c! q0 i; s& d2 z最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！7 Q% C5 S4 m, k3 h4 F1 q7 g
: i. ^4 A$ _) v0 h/ ^) K
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
$ `/ C3 c3 l6 t' M$ \. m" U$ O0 J: P) D) y) }5 v% E5 w5 |1 f2 n4 f2 R0 N
病毒名称：幽灵（ghost）6 k* }5 H! h. S1 A
0 v0 k4 |  b: V: \1 n( v3 z! ~
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
- \) a+ G( |5 M- C3 Y* C/ \6 B5 Q: `2 C8 a+ t7 }+ {! x+ l0 n
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
: m: k2 W: i; k) f. u$ A+ a, T6 j: h2 v7 J) Z3 E' Z- b6 D& D# x& J4 Q
1、将U盘连接到没有中毒的计算机上。; I* x- z9 C# [, n& l! o
2、使用资源管理器（alt+E）打开U盘。+ ]; V7 C4 K7 U1 C0 \0 K) b
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
; {, A& ~5 _$ c  t4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
9 i# H! ~7 p" B" S! n5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
; }1 y; t# B' {0 N# R/ a4 q% H以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
/ x# x5 S4 b4 [9 z! r3 F% h  _1 c: Y* U( N4 `9 I- \
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。* j" U5 O3 _/ U1 p3 \! V

& o8 k! ~4 Z4 `6 R2 x对于后遗症的处理方法如下：; G) y: p; F$ l5 h8 s- v
1 N: v2 @2 n2 \: Q- j' O
方法一：
" f2 N' n$ {. K  O- X* g1 ?- N2 j4 F$ ^  N. E
8 x2 y5 w9 _4 |. Z9 x  T* S& d+ v1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
6 E% S7 m0 ?6 [. b2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
+ G. H* {6 l1 f# O  y3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！, G. U! X5 A$ i$ b3 Y. K

' n+ y9 B* p1 E" ^2 O" E& N3 [方法二：/ c! w" V; q7 ~
+ n* o5 j5 W- U% c
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）. O& v6 I+ `* \7 f
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。7 S8 ~: \" s, [& R
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。) K& x  ]3 @7 P; C( `# }" C0 L
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。) J! {, ~& j, e

& m# }+ l5 \, [" b$ l6 E5 s到此，该U盘中的幽灵病毒全部清理完成！! F4 O  C% K, O9 `- E: r
. Q7 O. r; v) {7 f- W! o) `
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
3 h3 T' `9 ~0 V: U" I; F问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
' \5 ~6 h9 n6 ]* r- M
$ Z" K3 P' }9 h9 G5 U  S主要是没有中过，有时间发个病毒样本来研究下
+ E& X1 T- G; ?' }0 T
- v6 d6 h( o2 U还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的% ?! b/ ^- h8 d; [
% y& b! m( d  T6 f- r) ?) [* a
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
  Q2 S( P$ X7 T; \! g# u' @) L& F4 Q

柔肠寸断

对了
' t. }5 b3 i% k: v9 O0 S. p0 t9 }! _# h1 m- r7 E2 I
问问大家8 w3 g' n$ Z" k8 I/ I& k! b& z: {
$ F# c; X4 ~$ g
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
' z  v: K& ~3 N& _1 T. T2 S) K% L+ V/ c

: T6 N9 U) x: _( o' `! m有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：$ U" S1 y' a2 L

& p, i# q7 C4 q  U4 ?8 d     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）0 b# M0 S: N1 H4 a$ ]8 p; \/ B# |
     假设 g盘免疫 (g对应u盘在电脑上的盘符)6 [) i: d0 \' `  `7 Y* m. C7 B

3 Y8 J, A- J# w* n/ W' Q==================$ u( G$ {) b0 i

# s$ V+ n& S( V& D: C4 z      pushd g:& F. u/ E2 U1 {, j/ H  }0 _: x+ A) X  J% H
      md autorun.inf                 (新建autorun.inf文件夹)) k9 l( d: i. X3 U0 ^6 B( b, P
       cd autorun.inf                  (进入autorun.inf文件夹)( j) c3 l# e7 |2 h. _) E. N% N/ I
       md abc..\                      （新建免疫目录.文件夹）
! o: v3 O' c) b% Z8 x& I) q0 v0 r       cd..                                  (回到上一级目录)% D& o3 A* q8 ?* R5 U; E' a
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
% j# b% O$ s% U7 ~
9 ^) I- S, C/ Z( _  \# Y* f＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
6 s. `/ |- o! U. A: S! ?
( A5 Z9 H. `9 G" I8 u0 c" L+ l4 ?我忘记差不多了
& p; b( B! V4 C8 S; n: ], c/ |* W! j
上次上网找倒的