[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]9 p- G; Z; u" [- s

4 O  h4 {% B* x1 w信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
# Y) p& d2 Q' D1 k* L( F4 E2 e* M$ j! ?5 c7 b
4 y; M7 e# n4 d% z! S
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！. m/ e4 q. d7 @+ D9 L
1 J8 J/ O. M6 [* [) o3 f* Y
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
* x3 t( [6 I/ y) K9 ^/ y, k  x6 Z1 i' g: G. i
病毒名称：幽灵（ghost）' I/ U# l8 M' A: L, b

6 s, I$ j8 x. E/ p; I" [& u5 _/ i; j病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe0 r) R( }+ X' A4 }+ Q/ C7 {
' e' A1 p2 X6 J( T6 G; O
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
1 K3 Q% K4 [  N' O- x3 q7 i6 ^# t. ]$ C- J5 u/ C. }
1、将U盘连接到没有中毒的计算机上。
$ a/ ~. p5 [% k! o& ]1 i# t2、使用资源管理器（alt+E）打开U盘。
, O1 k/ w2 `1 M1 F$ M% B, V3 p: _3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
( H0 @. y% ?2 f. H& {4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉+ {8 b0 B5 O6 F$ V6 {+ R0 C
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
: e: M* V; P; i9 Z! q' y以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
# c. X# M6 N+ u3 \; P
) p' @0 M/ G. E/ o后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。. B: q. r) u. l4 Q

! {$ x: g) ?+ Q- q对于后遗症的处理方法如下：
9 |3 a3 s2 r0 w/ L) x/ I6 ?, G' D' C% }! l
方法一：
9 d3 L3 Y* d5 O' R" o. ?/ E2 k" u5 X5 K
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）& ~5 d5 R) t" c) f, J
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
: h3 ~& l0 K% Y) r/ P3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
# s& X5 G& a7 q  L- M/ F  e
% C: V- s9 O  c# g方法二：! b& b6 T) I) t  Q  M
$ y: S1 r* Q" j$ z3 {
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）9 x, X* f  n- E2 p) W/ l
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。. H$ m; m$ f) J+ q  ~
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
$ O- {) Z  p3 y: Y1 l( ?4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。+ E4 l1 a2 R, F  V

/ h- B2 i% P0 w% A' p! c3 v: Z到此，该U盘中的幽灵病毒全部清理完成！$ y5 b- W; @- o- A' Z

6 T4 k+ M& A1 `# t  _  T& P[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
/ d+ U' @, [4 j7 W1 z+ y问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先! U; c. }" }+ V' Q" Y8 I
& D( P1 g. Q& g' s) I: g
主要是没有中过，有时间发个病毒样本来研究下4 U8 O" v0 r% M0 G) e/ Q# e) r' Z
1 _+ }9 I3 c6 S; A$ e* p. B2 \$ x
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的- v# u% |6 m) @% N5 V8 I

- S, A( K; W; \3 t) j4 N  A并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
4 L6 u7 x6 j' y6 G& ^. G, A2 G4 u

柔肠寸断

对了
/ Q8 z6 Q' G( V- M+ N9 E9 a8 m+ M$ |, ~5 z& _) }5 t3 M1 _& B' Q
问问大家  T; u0 Z. Q, k+ Y" X

0 x7 b4 b" a5 C0 w. \4 F这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
) Q9 ?1 D1 y( [! R) P8 m/ K5 a2 s! q" o, y9 o* ]- N; J

! n3 D' X/ y4 z* c" T有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
) x4 J9 f$ w$ T& H2 n* z
# D8 ?. F+ S( M1 T, i. n$ l     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
6 y6 c0 m& n& Z7 l     假设 g盘免疫 (g对应u盘在电脑上的盘符)1 m+ e+ K+ R; A; o* s: Y  R1 _
1 D) k5 g1 ^, Y! m
==================+ ?. z& N5 P0 ~4 h( }& y

- F, ?  V2 G0 S% ]5 j      pushd g:
/ T% Q, h" Q/ ~1 T8 L  ?8 I      md autorun.inf                 (新建autorun.inf文件夹)
7 u. I- b/ H/ j  J- A. k       cd autorun.inf                  (进入autorun.inf文件夹)# T) z( I6 P% j. T
       md abc..\                      （新建免疫目录.文件夹）
5 j3 q6 e. i, U# D+ M       cd..                                  (回到上一级目录)
5 Q" `3 u" |* e3 w( S+ D7 \% f# _        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)  W: e! K8 N) W; d: Q; K% D
% b/ z4 F; F6 y% m% @5 x' x- u5 k
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的, Y$ [1 Z4 j, |% s$ t8 q! k
& I, ]4 _8 B  ?$ O9 n$ Y* w
我忘记差不多了; U% ~7 {" |7 I7 K8 x+ g
) ?5 b: }& u, U
上次上网找倒的