[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
! ^3 A2 g+ ^: D& h2 a& O  S
' h( e+ f7 L: F0 @" s, f信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
. b# B2 }$ }9 L$ F( N2 D- O: y( Y' C/ s1 c1 ]8 h6 o( l5 z3 z
; F6 ?' V0 ~4 y- \
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！5 p+ z- N! c" W. ]) j4 g3 d% x
8 s: b. e2 b1 c
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
! U7 k" |4 @! }5 [/ v, m3 @; ]0 c/ U5 i* N3 G
病毒名称：幽灵（ghost）. g3 n. s# W# o+ {) L

9 \- k/ C% h) R+ g4 O病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
+ g$ k) i  O" x2 A# i) w! z# H7 P+ O, l, d2 J- j8 L
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
, H! A0 Z3 u8 [: w* C. `: y
. z0 z2 J; B4 h( i# [+ w$ A0 M1、将U盘连接到没有中毒的计算机上。6 Q& i* T8 ^* `8 t& x+ |
2、使用资源管理器（alt+E）打开U盘。
+ s  m8 ^$ w- d; P( g" {3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。# U" ~( q6 Y) _9 R2 G/ Y' ^  H( M
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
. ]5 M: \1 A8 f0 K5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
, Q3 v/ V( y' @以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
2 z" `% W7 f& s/ M0 r; |1 C  N! X0 Q/ j% ^( U& w- E
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
9 O' k; D- ^- N: l* h
. V) r3 {' |+ A5 o  \7 l2 f4 g对于后遗症的处理方法如下：: C( R9 ]+ o8 `

- t, P9 g2 i$ k! u$ V/ x9 a- o! v4 S方法一：
) }$ R9 H1 D# K5 [3 C! T- @  \- U
( r$ {# W- A. D! g  K: @1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
& y  @5 Q/ l6 e1 T2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。- P& R0 S5 O* x% \" B. p, R/ B8 D& T% E
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！# c, s! X1 f6 A/ w* M) u6 i
& J$ J) o" e) p0 u$ ^; N3 T
方法二：4 y5 V) E# Q& {* e: y+ F$ ^4 H5 B

$ k, D$ O* B& E6 R7 t# q% }1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）5 z2 e7 H; v6 n: b1 Q3 J
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
) \) B% G* O8 o  A3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。- z& P) t* W4 q/ O$ N
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
+ p3 J7 i6 T6 f" D
/ p4 ?, h7 z, g3 n5 k$ Q3 P( R5 t: M到此，该U盘中的幽灵病毒全部清理完成！
. n, B6 t' V( j4 n) F9 g
, Q9 M, P* {( ~8 d2 j[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊/ T4 {# p- D# F8 u" M; w/ [
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先2 `& I6 q# q7 Z  q4 W+ W4 C1 K
! Y- J9 m( H/ k- D. J) S/ z
主要是没有中过，有时间发个病毒样本来研究下
' ~6 y- n" B& {  L
2 i2 o, r9 M" b$ a还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
" T2 m8 M5 X' F+ a3 z# @  ^
" G! A4 M: d6 z) i# L, @$ y并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了, f" h5 J" i: ~7 S$ X0 h

! H+ N5 Z: F* n# {' H1 p. ]

柔肠寸断

对了% w; n& L  O, t' s1 \

1 B# [1 L# }( m" e问问大家2 [6 u* v1 c/ I  Q$ f9 }% \

. Y7 c5 h# A( Q; ~8 A这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
" S$ D! ~2 g; T  }5 R& L
: Z6 @1 r% t% g3 I2 k3 b9 ]
: n+ X8 t! h0 d( Y! [. U! v! y+ |4 b0 L4 h有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
: `% b# O/ w' ~9 v) R( g& R$ J$ g! a" c4 o2 u( P' i
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
! ^5 }0 w4 I$ e) B# ]: B     假设 g盘免疫 (g对应u盘在电脑上的盘符)1 }9 M! I" b7 N. i6 Q1 }  q, ]

5 ]$ ]+ n- ^3 q# q. E+ p2 Z==================
3 |7 E3 H  U+ C+ u, e9 r$ `# y' M* K$ @( ?6 O  x
      pushd g:( X6 Q% R& c" V: c0 v4 ]4 W
      md autorun.inf                 (新建autorun.inf文件夹)% K+ d1 m2 e+ O0 X$ d; F
       cd autorun.inf                  (进入autorun.inf文件夹), B: w- P# |  o2 W1 d9 t  w
       md abc..\                      （新建免疫目录.文件夹）8 k8 b/ p. L. |  C- C: P
       cd..                                  (回到上一级目录)8 z* B1 s( G) R+ ^
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
3 j; H' o- m2 [8 y- |+ v4 ]
, t# \+ {$ h3 l# `7 x  N$ Z＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的9 J5 K! q4 ^: h! [# }
1 y0 T+ I7 ?' y+ p" P; I, r
我忘记差不多了1 \) u( P- }! \
" U8 X" ~& m1 [' X  O- i
上次上网找倒的