[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]) V' n9 D+ V/ Z, B( L( [
* _3 M+ Y, _. _4 A5 {" X
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
( j" B) d& L# I) Z  i3 g% D$ L# G: v# {' B  q8 ~- u$ ]1 c. [& D

  k. s5 q5 R' k  E; F  |, a, b$ R最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！; {+ g$ X* J  w1 W1 Y; @, {6 \/ V

6 F" r' a( k/ @( ?9 J7 d注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！# k3 I; V' c  x7 k

7 }. M. L* b4 z4 @* @1 u* n$ A病毒名称：幽灵（ghost）9 K: S2 }4 t# T9 |

) `1 w6 d. K; {$ U病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe: ~9 _7 t$ T: d  \
$ n' U& L9 L7 L9 X7 a
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：0 G( \( t1 O% z0 x& o. r

0 p: _1 l" M% D% q. P! t1 A1、将U盘连接到没有中毒的计算机上。
8 b' y2 h8 p2 f  u2、使用资源管理器（alt+E）打开U盘。# d5 z  j8 f3 F4 c7 F3 L
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
1 [' I% U5 H4 z; P$ J" S& ^4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉4 q% @0 Y& |3 L% g# V5 x7 ?
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
" {. Z, x8 O, w  n以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
6 H. e/ A3 \& t; @  H
) c$ e$ p, K+ M0 j; C: A4 S后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
/ U( ^5 E5 J' Z  d% A  h0 o/ p: G# l2 C* I+ Y' ~; T; l4 W) E
对于后遗症的处理方法如下：
5 T9 b- q9 N+ M2 {
' V0 h3 @# j- g7 L' h6 i方法一：
- a: z9 H' V* D7 v
" @' u/ [) S- s1 t$ k: P: ~1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
7 E; A7 w6 ]7 d; E# _2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。' u* d3 y( b7 ]1 r
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
4 k3 E1 X  s' T( \: B/ u& A. D5 P, p& c
方法二：
# S- L- l. N  x5 Q* H/ ~0 b9 o
  z1 J# \/ Q- l/ M1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
7 }5 V4 t2 E1 q$ N; S5 p, ?, [2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
' j% ~$ W( a( W( F. ^5 J4 p3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。* F3 U; V3 L, Z& `% \& b; p
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
3 ?& k; c/ U: N0 i3 Y+ A* H+ E
, _% U4 U' p2 t2 w, M& Z; U; s到此，该U盘中的幽灵病毒全部清理完成！
( X9 v$ ^0 ~5 R! `& ?
1 y4 B9 F) g' q: P[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊1 g9 ]" F1 ~7 P* r
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先: |+ E9 W6 V2 z) e  z# c% g3 w6 [

0 T, R: ]3 L5 W9 l2 w" U8 [主要是没有中过，有时间发个病毒样本来研究下, ?& h* ~" g# t, ?

# ?. F2 a2 Q5 a( |. F6 D/ T, `还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
- q, f, L. {# D% z! H9 I( s. M6 U' ?* g5 Y( K- x0 Y
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了' m1 M! t% ^9 B0 M7 |. r

2 F: J: z9 M+ b  U, B% b( C  M

柔肠寸断

对了1 m' f6 _. y( W* o

2 f$ z& G7 i' j6 Z1 n0 D1 U问问大家
. |! w9 J* X6 p' H! l! Y( u% m
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
! g* o7 f: _- ^  C! `% F+ I; [, Q. O2 ~3 ~

7 Y" z. C7 W- E% R+ I有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：' f8 O5 m9 V1 s1 u

& b  q- A3 _4 z  V* ]     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）6 j4 T2 d4 m4 i% b. C
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
9 f8 Y& y* f; s) l6 k- x, T/ y  O5 {+ k. ~; v) W  U
==================
3 \5 t- x0 t) P* b& w/ ?6 Q3 @" N
      pushd g:
( M, L7 }# v2 Y0 F      md autorun.inf                 (新建autorun.inf文件夹)
( d& g4 u" Q; n4 D       cd autorun.inf                  (进入autorun.inf文件夹)
2 e( r( g/ `& J9 a) N- v, a       md abc..\                      （新建免疫目录.文件夹）/ a/ q, r6 i5 ^' X" ?: b
       cd..                                  (回到上一级目录)2 ^; q" y( n! |9 F: O: l. `
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)" l7 z. P7 \' k1 b0 K" P+ T

$ @* M; s7 H7 I# D＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
$ `) P# ^: {  |% e* t. j" q: T+ Z' c9 }
我忘记差不多了& d- @5 H6 n) I5 [& J  `  N, ^! [. b* C

1 c' h2 O* s* }. `* C上次上网找倒的