[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
. H( H/ U/ n. D: _: E4 b# U* a1 x/ M1 l" k- `9 E* J
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
4 `/ E* [" i6 [* ]& C0 c4 w& p: x' H. M2 a2 D

/ b8 w- d- P  `最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！" {/ }9 V- t$ R7 }
$ e- @9 h+ |) `7 @: Z9 q
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！& v2 F7 n5 N3 E

0 i: d7 q- x9 j病毒名称：幽灵（ghost）3 |$ Z: j( e. c, B  E0 _6 u# u! M

; I, l0 H2 e/ f$ H2 b; T! R病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
- G! j" Q, v' ?, Z' O3 ?) ]7 S3 E' H7 Z3 n$ y; q% a
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
# f, Y- K8 r8 t7 L1 K3 D& n; j/ M6 B# i, ^2 }
1、将U盘连接到没有中毒的计算机上。3 P, B2 l0 e9 A0 L
2、使用资源管理器（alt+E）打开U盘。
7 A- m5 M8 _6 M+ G; I- C7 }$ W3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
& l# r& ~6 c! |# }% [6 G+ W4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉- C0 V; P& v  H4 H1 y) d  x, V
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉. f8 \! ]  ]+ Q, q7 m- Z, h
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
) u1 z. X1 c) P4 m
/ x) m' x4 i$ G- f9 a* t* N后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。' d" Q, m" {/ D& ]

$ I* T  N( K+ V% h对于后遗症的处理方法如下：1 v4 X1 Y7 |% `) B8 Q8 z# E

" v! d, s3 L, {  m. Q方法一：
- ?" H( M! i& n$ k) f5 e- E- J' u  e5 N4 e
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
, ]0 E) b3 o8 D0 z% ^# v' ^8 c2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
: M8 n. D! f4 N6 M1 H. Q0 u3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
& p- |7 H. M8 e
. ?3 R: y, L, }6 @: O: N1 X9 c! k方法二：' V8 o/ I/ R8 q7 a  `( L9 |) i

6 [0 A( }: `# w5 G  H" D! M1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）! I9 [2 M5 n5 R/ U1 z
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
3 t9 N4 s. s, K0 H3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。! q2 f7 |$ b+ K4 T( f
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。: U3 c8 Z2 ~2 R/ S- ]! D
& ]6 p6 h( U; N! e
到此，该U盘中的幽灵病毒全部清理完成！. h9 C: r/ n, G  B

, u! F- G2 [3 W! [* y, p[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊  d6 v+ {1 N# ]+ X, K: [5 S, N$ s
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先+ ]2 w. X; z# E* v

0 A! j' ?$ h& d" T- L; ?. n: a主要是没有中过，有时间发个病毒样本来研究下
. ?0 ^: p' G* e; {, ]3 P' j3 Z# Z' V- c4 M5 l5 n
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
& e5 W/ `) J# _, ]% H; U( i3 w: q' b! }( J; @; C5 c' {
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了9 K- ], t% m# d8 X
, [; g6 ^4 |7 v" f6 c" i3 e8 p

柔肠寸断

对了
1 S$ f& Z; q1 R# @2 F9 O* N" V% ?* m; @& Y7 t
问问大家
- b% S1 q+ ?9 x. ~) q" k" u3 U7 n# }
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
) ], t; L! I( j3 e  W8 d+ K
( P, u$ v, o: A( s/ W% F% @4 X, b% B1 r  c
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
  Q1 z' P" p% W3 R
$ }* P. o: m' m6 v. j$ h9 t     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）$ @  B1 Z8 o  T, }# [
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
8 ]7 k; d/ `( T; K: e& D, L9 t% g7 g5 J# a) Q3 p/ @7 a2 H$ Y
==================
6 I" ]& {+ O7 j: [* @/ j
+ w) V* t: P7 D" r# V      pushd g:4 Y9 @: u3 W) a. g' m% p1 j
      md autorun.inf                 (新建autorun.inf文件夹)" T* W7 ~+ c3 w/ W2 F5 f
       cd autorun.inf                  (进入autorun.inf文件夹)
6 G6 m, x$ f. h, K       md abc..\                      （新建免疫目录.文件夹）+ v; P. M, I$ ^, A0 q
       cd..                                  (回到上一级目录)
' F9 ~0 Z9 b- E& \% [7 c9 z        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)) e  B) F; M: U* w/ v# n
* c  j) T& x3 o6 B; U
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的+ x! x: i" Y0 c2 Y
7 o  D2 N4 F& t9 U
我忘记差不多了
+ q: {3 s' x% \6 X( T( D+ N+ S9 y* X% _
上次上网找倒的