[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]" M" e0 _/ r+ h# S- B6 M
9 `: w( [0 a  C8 Q& i9 @3 W/ s& q
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
6 _; y  m, M& V; @, E; D( f" g# U0 P) X1 A4 \, l1 H* ^( b5 o

& j. R  s* y9 f1 J* t6 u3 E最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
' g& W$ }. U9 O2 q% T  b4 J" J' f, W& m, K) Z! W7 O. H1 `3 i
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
1 b/ B- r5 t5 q" t* N$ k
) Q( @' \8 Y; q$ A  j$ Z5 Z病毒名称：幽灵（ghost）6 M- K$ D$ d' M7 k
" Q; ?4 r" ^! h9 {# n# A
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
' }2 E: Q( C  q3 \3 o4 n+ [0 R
- J* |- u( t: d+ \  B如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
/ _+ l' V. y) y; t4 g/ q/ n, Q$ O0 m+ u% P, e& i
1、将U盘连接到没有中毒的计算机上。. F8 {4 a0 J. @6 M+ g
2、使用资源管理器（alt+E）打开U盘。
6 v; L: ?) w$ C: _: y& G3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。; m( h, l* F0 W( p- n
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
( {# p* }! l' V1 {5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
1 h; T+ ?  E7 A( `以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。. v6 D0 A- c5 V! N
( T9 a+ Q5 E# r8 w( h# K! b
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
4 E. x1 ~9 y( k0 R4 C4 Y* I6 N& [1 G: P+ x. F
对于后遗症的处理方法如下：
) B3 f) d6 @- g! x7 y& ?1 S) X8 z3 ^
方法一：2 w7 N" }, G/ v  y/ {+ Q, ]

# C! p2 s+ x+ l0 l5 v# u6 E6 {! V1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）0 m) ?/ N9 R: s, J
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
5 U1 P( W$ U" X0 I8 g( _1 ?, b; g3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！& r  Z( @4 A. g% W
/ @1 F/ |# x0 w6 O" y7 Z8 ^+ u+ Y
方法二：. U& g! K9 q1 \0 n
" H7 n" [* w2 F+ U( z+ V3 C: ~
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
( J8 w& |! p4 _4 g, l. i2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
2 h# l! }4 J& A# S8 C4 x+ D1 t) ]3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。/ i2 z7 Q/ q, q- n6 v: \, I0 F; t
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。) D) J: f& _& g

3 d- V* v4 ]: [. e. t到此，该U盘中的幽灵病毒全部清理完成！* a: C( q: W* [$ `/ _8 O+ o( ]/ C
7 z0 N; |' }( f8 k, l0 N% m
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
) D3 j. x2 U* z6 ?6 t问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
! R. B' o9 K& }& @4 x" c
8 h; K3 x4 J; }3 j( l主要是没有中过，有时间发个病毒样本来研究下. \$ L- u1 a  Y& o7 ^/ E# E, L
) b/ d# @- q0 B$ r9 K
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的5 f4 \2 |) L% I( K, {9 i
' @- W: u/ G( \/ a% |2 S' i
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
: q* ]/ B/ O, Q9 ]+ e; t: D2 h9 J9 F4 m' e6 y

柔肠寸断

对了( t( O2 Q4 O8 f5 _+ g7 ~2 {

( P% @' L5 c2 g- s& v. Z, z9 I问问大家+ J. U! ?9 ?( c$ k
% b& S; v- m; \* n) w
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的" D+ Y& R/ N  x
+ k8 k* _- L" E4 L. i
7 d6 g& ?$ a/ P; U9 O  R
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：: w9 w0 ?+ M2 n9 [2 z. n
) \: U( W9 H, l% f9 W0 i$ ^
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
( v1 @) k6 k$ X% u5 l     假设 g盘免疫 (g对应u盘在电脑上的盘符)
0 n, u# A1 ]: s
5 s  C# p3 A* S* U==================
0 X% u' k8 R$ O  C0 z% _0 m  f& D9 ~$ P/ g, S
      pushd g:5 S' S/ ]4 j6 Z- c- w
      md autorun.inf                 (新建autorun.inf文件夹)
$ a  C7 y. _+ ?1 I# J" N* u7 E! c       cd autorun.inf                  (进入autorun.inf文件夹)
$ r% b6 X) X6 _, Q       md abc..\                      （新建免疫目录.文件夹）) o  p6 Z8 ]# K. }
       cd..                                  (回到上一级目录)5 D) Q2 A* ?8 G0 Q* H6 i; `
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
; X0 x4 S- K0 o) |! ]0 ]
9 P# Q* n( B2 O+ m: ?' _/ P$ k( t＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
% |' f+ I  n% `2 d3 M0 V! Q
  \- n# k7 U$ A( W" ]我忘记差不多了- Z1 E' G; E$ O
9 l, T0 n# A1 |* e( Z& O/ u$ i
上次上网找倒的