[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
1 E0 p8 Z" P2 U6 E+ ^  V
, ~! `6 T' Y/ `4 _' l4 D/ _! i信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）0 B4 |0 C" }( N/ ^& j
2 A1 C* J; p' |- p6 Y, Y9 Z" A: E( t

& l; Y3 z9 l% p1 _+ l* H最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！, G) V* A2 I1 F. x- c  i- i

, x0 y2 w( ~3 W  ^注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！: x& u$ A1 r% m( h/ C9 S

. o- t3 a3 s9 {( m" z病毒名称：幽灵（ghost）" Y' V9 I; Q" f& W

6 X+ r3 z2 A3 n7 I! C* ^* B病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe) a# D  t1 N3 o/ d
5 A; ~+ E3 B' i
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
8 {! ]% H& Z1 a, Q2 Z1 z7 q( e# j7 E# t2 \
1、将U盘连接到没有中毒的计算机上。& U1 _4 n1 f9 n
2、使用资源管理器（alt+E）打开U盘。8 W$ e+ ]" P# `5 F. w1 r
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。" K6 m& _  X; ]. ^
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
& p2 h8 P) R8 o5 b% i1 _5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
1 n( n' n+ q0 V* I以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。7 Q8 S# ^8 _0 V, X

  }: M% l" y1 o( Z; i) H+ ~) \后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。0 I3 D, @, N8 t; w( j. f0 y" _3 [
1 [$ Y4 }: u$ V
对于后遗症的处理方法如下：
* U6 \8 p: f5 p1 u8 O* H! o
: S3 c' C) y2 c5 z; X方法一：
2 H- b+ L; N0 ~) Z( r+ N/ m9 r, w; W% e2 G0 X0 {
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）1 ]- \8 `0 o2 a! H% J; l) l& ]
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。% ~0 ~! v" N* y$ T* Q0 D: U. p
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
' n( M3 S' ]) l! @8 ~* T# m
0 V9 L* k; ^5 s1 Z& F, d方法二：( y1 H! M9 @: I  K: a
- ~6 S- t$ I' m/ @6 C8 p
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
, A* ~7 Q% N3 ^/ P' B2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
' I+ K1 ~* j1 C/ V+ ~. H' X8 h4 o3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。/ R( k+ v/ l* Z
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。4 ?1 C) ^: W4 @% x: y
9 j) c, N) Z4 _3 ^' u' ~: u! o9 P8 a- w
到此，该U盘中的幽灵病毒全部清理完成！( s" p& e3 Z- F! F5 T- Q9 O. g
: ~) ?5 o; N1 F# Q( w% R8 ?
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
! A4 F0 n( n/ O问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先3 e  Z' i+ g* q/ ?7 b% C
- Y) A, L! X% R/ _1 t% p
主要是没有中过，有时间发个病毒样本来研究下
# y9 e+ n; l9 {: J, j" A1 P
3 A( i$ n/ ?( c4 Z7 Y: B' L还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
% v' n5 f2 v' ?# a( |0 E" i; l) J
: `" H! R7 s! K; k- X& f并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
' `% G/ U0 Q- P! Q$ j% V
, Y( V* d& u6 t+ P

柔肠寸断

对了6 d7 {9 g0 ?! n0 v6 M$ }
3 X+ P7 J9 ?7 L) D  t
问问大家/ y( G/ ~0 ^5 I+ @. S) i; |: {* l1 ]( w
0 i+ `/ F# q0 {: f; X5 f
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的% G  g; Z1 G2 Y

/ l7 k$ V- l& @  D& ^0 ~! l9 j/ B" o* {. H0 N6 y" i0 ]2 o
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：& c3 {' M3 u( b9 R/ V

3 Q" @0 G5 J1 w     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）  {; V3 x* u. z& Z  k8 \5 \
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
1 F, v6 W, I* ?$ z& x& q/ X0 T
# y  p3 v4 R# V8 F0 g: Z==================
) v4 p+ y8 z" r: a& e1 {. n
" y# e$ ~% V5 n% x0 v" F' k      pushd g:
; u  {! J0 e  A* q      md autorun.inf                 (新建autorun.inf文件夹)
6 L" r3 Z4 g! D: w3 d       cd autorun.inf                  (进入autorun.inf文件夹)
, ]! Z7 t3 @0 L* v       md abc..\                      （新建免疫目录.文件夹）$ x4 c+ e( a7 q* r, O; J5 b
       cd..                                  (回到上一级目录)
' x% K) u- \) k5 ~' Y' `        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
: D5 m$ t7 d4 z  k0 l/ U7 I1 L4 Z: Q: S
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的2 }( f6 _) f& N8 x& p; Q1 k
8 A: G7 y8 D+ b
我忘记差不多了6 ^/ B/ D9 l: y3 J, f
3 D  R/ w% C. I0 u; M* z" Z' Y0 u
上次上网找倒的