[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
3 c3 T3 I, D0 x% C: ~/ S0 {' ~) U; m  D, ~# A! q) l+ w
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
& J! J( ~2 I! s: |' t1 }9 {- e+ Z/ q+ K
, E' D, N7 M. {4 i* T
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！( g. a+ H" X5 I& k- k" O) p
! b. [! @- @) F3 L" I
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
! b- q4 Q  R: j4 n: B
7 g* V& Z4 `/ l6 `% `3 @病毒名称：幽灵（ghost）6 ~# {1 }; @6 J5 k5 u8 [

: f5 }- F' @- o: ?- K- R病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
% u2 R0 M" c5 C# V7 Z1 U6 F2 w- p
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：/ ^* [$ W" H) f  W/ ]$ v8 D- f. [
! w$ Q) l4 B. H( X% _& o
1、将U盘连接到没有中毒的计算机上。
( D5 W$ O* }  @* B# c" k( U& D- E. S2、使用资源管理器（alt+E）打开U盘。
5 m# Z: T- T5 s; ?3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
+ J1 L8 d% T# D3 L) A/ b# M1 {4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉* `. ^; i. |  `2 |, O* s* X
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
& o$ U/ v' h2 s8 f以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。+ D) i) R) {- R% j/ f
" \  }: ~7 h, D, v$ p- ^2 \$ E4 x
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
0 s; c0 M3 C" W; m: p9 D3 _" T+ D4 X
对于后遗症的处理方法如下：
. l  Q6 N% n3 t! m0 A$ l8 y% U
# ~4 g" B7 U* V" }5 ~7 ?% z方法一：
- Y5 s. Q. t7 |9 l
$ \0 Z  q# r' y8 W1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）# h2 _5 N/ b) r2 @2 g
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。4 b7 i7 z5 h' @  [
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
) T0 ^8 d" i9 c
% Y1 I" h* p7 q* Y' Y- }- p) P方法二：1 B" f6 L' B2 B* u# p6 O0 B# x

( g* k  Q/ S  P  b1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
0 ]2 Y. N8 a" ^  X2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
' Z2 U; L& ^2 P! n3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
3 ^1 Q& i9 o9 n1 w4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。6 U1 q3 [8 u" i. m: y3 i! o6 \

1 P5 F/ ]: W/ D) M* W, |& L( J" E到此，该U盘中的幽灵病毒全部清理完成！" Q8 _6 ^2 H3 l! m3 ^

8 v& h. @# w) ?! D5 C[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊) X2 B7 N  T% v( `+ m9 r* ~
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
" m2 l9 t' i/ ^6 U/ C8 s) r7 l4 }& ?6 A" J3 o
主要是没有中过，有时间发个病毒样本来研究下
+ v& @% d8 B: U& N2 d5 F: n* U" f) o0 E$ D$ z
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的8 F( I; }: q  I

6 j+ s/ K: y2 g$ s  ^并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
* e% s# {4 {! l# ~% x
; x* Y! U) N5 Y! z& e

柔肠寸断

对了9 }% [6 z' Q9 F- P$ b
8 ]( q* V8 W* d! h1 N; Z
问问大家. j* z! l/ ]+ `. ~; c8 m/ s

3 n  V" s- D! q1 @- a; M这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的: r& E$ [: a: J! E+ }6 t) _0 q
; A) z' e5 [. a! V0 @

7 E/ d. N8 ~8 k8 c" H5 v有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：! X/ x( J) d- n$ O/ B9 Q

4 ^, |: M- r1 l     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
$ |' |# {% K0 C     假设 g盘免疫 (g对应u盘在电脑上的盘符)' B& L, ^2 l- g. w' t: J
" B$ w; |, j3 q; Q
==================
5 h4 Q& y4 x6 x9 R  _
/ E/ w* \7 h' d+ y4 m      pushd g:
! ?, |+ z* y8 @$ }( o* \' ]+ A, K      md autorun.inf                 (新建autorun.inf文件夹)
8 W$ S7 ~: g( R" p4 T       cd autorun.inf                  (进入autorun.inf文件夹)
* b; ?; M( V% p! t8 {) E       md abc..\                      （新建免疫目录.文件夹）
- P4 m4 r) j4 c, |1 y& V       cd..                                  (回到上一级目录)4 O% v7 o0 C# `
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
2 C) G9 G. N& C( p1 i! p4 ~, s# H, ^* {1 v
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的9 |  c: H5 s& K7 u! @, `2 t! y& z
+ O% A4 _- `+ K7 s, i7 o: r
我忘记差不多了2 \2 Q0 I* a$ x- f3 H

  W7 b8 Q. _0 ]' x  N) b上次上网找倒的