[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]$ ?) b  Q& f, x
* o! r. y9 ^; S; L" ]
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）, D& ]/ W% O, t8 x, e

$ l+ ]0 A3 Z8 l0 v, a7 B
! ]& G5 \2 a# L$ A最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！* U1 D$ y# G5 q7 C
3 R/ Z; m8 P) A: t  n$ T
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！4 U! j; ~6 l' e0 C+ x

* l: }1 ?- ?+ G3 M3 q病毒名称：幽灵（ghost）
. z" T. b# S2 _. [8 ~1 h0 `+ G( Q$ h) L1 P
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe$ b: L3 c' {8 v: x/ O& G* b

2 p8 D- T+ y) x9 T& I% h! E9 A; N如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：5 y8 h2 S# V% Z
) |4 `. Z! j; G. h+ H4 N+ b; o- o
1、将U盘连接到没有中毒的计算机上。$ R8 R1 @" `$ P
2、使用资源管理器（alt+E）打开U盘。
" F  ]. f. Z7 T4 D- l  o# ^3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。! H1 z0 n* Z' L' R5 }
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉+ T' R5 ~$ L) \% p
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉3 r! _% Q5 M  T. I* M' z
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
+ I# U; A  w7 C/ t* H$ ]! D; e) H7 x& _: H3 C; z. m6 h
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。1 U" U6 z4 f$ D3 s
3 Z- m: o6 I" p( N
对于后遗症的处理方法如下：) @/ Q# x" T- E# R
2 e8 i! V. d/ W1 E. z% f" _
方法一：
. f7 B  [! Q$ X( C
. w' T  O9 o0 N& `2 f6 v) K1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）4 b$ W8 _- S" Q# b
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。5 t6 }2 e( ]8 o/ b0 o; ?
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
. S3 V+ f, L; {+ i$ l+ r
$ m" x+ [' T  l5 n方法二：3 w6 b0 ~2 M+ }2 J* I

7 @& F: B* w$ h- V8 @1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）/ h5 G( d0 q6 N) d* |1 U2 D* W
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
; Y* c4 `; Q/ g; \  R" \3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
/ W( H& _' p( L! T4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。3 @, K6 |: L; h9 ^  X

9 Y5 ?. G0 W, c/ i& l到此，该U盘中的幽灵病毒全部清理完成！
+ {6 k: e$ n  _2 C" y
4 A1 q: R) z# B[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊1 k- @! B" l" K! V/ @
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
5 ^4 l, E7 [1 O% _' h" ~
6 d5 i2 j7 d3 S" H- h; D主要是没有中过，有时间发个病毒样本来研究下: G% ~/ x# b: G
' Y' }2 S! S0 e8 R
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的1 a) q* i6 ]3 Z- {

( E, u" G& }' h4 C( b& ~' V并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了/ ]0 a& f5 v, W* X* Y
& s9 a' ^6 `# D" }2 x& [4 |

柔肠寸断

对了9 C9 @, J+ y* q9 i) j1 ]
6 t; e! X- y6 u8 f& i0 ^' G, V
问问大家# L5 W5 y1 K' s2 |. u$ u! m# {
" O4 S8 m2 u' z9 ~, s
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
+ W9 ~0 j2 X' C; i* c# r* K/ [
7 r! P% A# }$ k& Q+ h- m7 S
9 ~( z1 D0 w, L9 V- w有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：+ c% }6 f* J0 _- c# n
& N( _# _: `- @* }0 X1 y
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）$ F$ G9 a# G0 m/ v8 q+ t# b; T
     假设 g盘免疫 (g对应u盘在电脑上的盘符)/ F+ Q( ]. [: A2 w1 V2 X, Q
, V/ b2 p( y: L5 p+ T7 W
==================3 H; s3 r2 N8 S/ D, q7 V$ Z+ h5 a
: Y/ A6 N, C0 y4 u9 k; d' @
      pushd g:
. P# I, W& o5 }3 D/ a1 F      md autorun.inf                 (新建autorun.inf文件夹)
. j# m5 h7 B/ f  e8 n       cd autorun.inf                  (进入autorun.inf文件夹)6 P( e) M% x7 D2 {  F% h
       md abc..\                      （新建免疫目录.文件夹）' p- B9 g/ r6 i8 v% S: L7 f
       cd..                                  (回到上一级目录)9 E5 u" T' F9 H' q  R
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
1 _, F9 o" Y6 O4 L2 y8 {1 ]. j! H3 e
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的: f: i0 |" [  c  v7 n2 c; }6 B

7 J2 N+ h' ^$ D& d$ Q, F/ H# e# t. y我忘记差不多了5 s1 S8 g7 i; k& i+ O+ H8 c
8 W$ f/ H! o) o4 ]/ I5 f
上次上网找倒的