[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
, I. |' @7 ?6 C/ I  a; K2 U0 I1 L
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
# B* {5 a# i+ W3 t& a5 `- P& z5 b/ ]- q/ L! h

6 d/ j3 U8 {3 h1 Y最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！: ^* z+ X0 n/ w+ G# G5 @1 g

1 f1 r" C* T# S: U5 Z注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！# R5 x- H9 b) h
( w2 y1 u+ S: t; R: {, r
病毒名称：幽灵（ghost）
" |6 v0 L9 z. e- ~! W8 I, R7 O  @* o) i5 l3 R$ e7 Q
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
( R7 j4 ^$ b7 J0 T$ Z. {6 H
2 @/ j- W4 Y* T1 k如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：3 Y$ A% Q" U/ R3 E5 s$ a
! e+ L2 h! v3 y+ X
1、将U盘连接到没有中毒的计算机上。) R  L2 P1 }( i
2、使用资源管理器（alt+E）打开U盘。, V. w) w7 }" ~: a3 K/ j; J' m3 J0 m6 y
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。/ f  D5 C- O# g
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉+ w* `2 N& V( e' C
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
$ q3 V. L' @0 h, g/ V: S- i以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。& h" H5 n9 b, |: Y% L0 C- g
4 ?' l9 {" O. `3 @6 n
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
: |' G6 u  e. K3 g! B8 P5 d( F' ^) y* B+ f4 d
对于后遗症的处理方法如下：, T' c* K) k( ?) ]7 X; L' E

  ^( f) J( |; }. Z方法一：" F* o0 D' y* i+ l' z8 E3 W
6 G3 l& i0 {1 K
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
) n! [  T5 t% y  ]/ C( ^2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。5 b* L9 J, K# Q- B* _7 j: J8 o5 q2 [
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
& }1 L$ H; t8 R  y) c; `6 U- j  r& E0 c' ]2 V; A. U) G
方法二：% {( h; \) ?$ A% g  r  k8 W

) e" _' @1 u. I. c' i1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）( f. A" N$ D) a5 {
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。! d: h. ~+ \! L
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。5 \; I, W( l5 R+ m
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
7 X: g  |# \* j+ O. G
3 B* v# Y! u" y% p到此，该U盘中的幽灵病毒全部清理完成！" O+ U, f4 D7 d
7 t" m7 d& p1 ~* c
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
, d, J. T6 V1 n& v/ E  }* h9 ~问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
* z$ a0 b5 _8 B. }3 t/ b' ]  a2 K4 J' v% q1 J
主要是没有中过，有时间发个病毒样本来研究下
0 g+ Q4 w8 S4 z: J$ B" K( R/ L$ B8 d+ V
& w6 T  v$ U% G5 L" }$ F  w还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
# X% f* f9 Z5 w( G% @# \7 `4 p1 w' w, U) E" W6 ?3 E7 S3 ]3 \
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
* R7 `! w: R2 o/ d  t4 @$ u& i2 H$ X* C1 c8 f. c2 J: `" K

柔肠寸断

对了
: k3 f* i  R/ p  W/ |' r) v5 a7 K
1 p6 Z6 Y" o5 g' L8 X问问大家* {4 o* C$ p8 ^% ?/ R
8 F# q. m1 a' t; v( H0 I
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
& P9 D8 P( P5 |) R5 G6 g. `" W
0 R  G! z0 c8 c& l9 s- D4 e
: H' O9 Y$ B2 t  w1 O4 Z- m+ @) o有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：, l4 f7 F6 H! ]! s# v1 B: c6 S
9 D$ v* P  ]/ y& ~, X7 s
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）7 i8 z# l1 f+ ^5 @% m
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
1 x5 o: `. U, c, D+ F% W9 C. L9 _! |4 T0 A8 {4 K/ }3 k
==================2 a5 h( y9 N7 ]! G/ H& r
* x$ @- e; {+ ]& ]! K# E
      pushd g:
& D6 G; B- ?5 }* m( l& Z      md autorun.inf                 (新建autorun.inf文件夹)3 y+ T  D7 N1 M- @
       cd autorun.inf                  (进入autorun.inf文件夹)
9 ^! P( K' M* ?. ]" H$ Z' {/ C  p. b       md abc..\                      （新建免疫目录.文件夹）
% d7 J; n! s8 j       cd..                                  (回到上一级目录), u+ K- C9 P, V1 l! h
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)" e# l% L# i3 x, U$ H
% n7 U0 O" Q8 ]# N1 T
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
" D; q% K0 Y. ?% E$ c( S- }" C
, S' ?( m& m$ ?# [- d  @我忘记差不多了0 p; x. h( i2 |5 v( H

+ q9 G4 r# O) {( U* i7 [+ f* ~上次上网找倒的