返回列表 发帖
saitojie

Rank: 11Rank: 11Rank: 11Rank: 11

帖子
416 
积分
1324 
威望
1596  
金钱
656  
在线时间
139 小时 

高手勋章VIP会员核心成员原创奖章贡献奖内部成员帅哥勋章支持奖章突出贡献奖优质人品奖章技术组成员
1 跳转到 » 倒序看帖
打印
tT
发表于 2008-10-11 12:22 | 只看该作者

[原创文章] 对于U盘内永久隐藏文件的处理

盘内, 文件, 隐藏
原创作者:saitojie  [3.A.S.T]
1 H/ o2 @( {% l# [+ ~, k5 F4 ^2 n0 q; ~% i& G
信息来源:3.A.S.T网络安全团队  ( www.3ast.cn  )% ~# S: i5 M2 F& F: C+ u2 M/ a
. W4 l  a2 q) I' ?5 N5 I) Q

* S7 c/ n( D; ?; U# f最近由于工作繁忙所以帖子发的比较少了,在工作中遇到了一个情况,我的学生U盘中毒了,而且是大面积中了这个毒,天天帮学生杀毒,杀得有点累了,不知道坛子里有没有人也在被这个病毒“迫害”,下面说说我的一些处理方法!
7 m; t* g% V4 R" @: D
# Q5 R8 F, h+ a$ f2 G/ o+ n& T注意:我的查杀方式仅限于计算机没中毒,但是U盘被病毒感染,如果阁下的计算机也中了该病毒,请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件!
) H" ?; u& y" D" l# H: A) }) S0 v
7 \6 k' @" X' i- b病毒名称:幽灵(ghost)
( V- s* q% [: [5 k0 I, k' _
) x$ c8 _3 c" b- `& H# ]; Q病毒现象:U盘内所有文件夹被隐藏,并且在U盘内生成与该文件夹同名的文件,文件图标与文件夹图标相同,后缀为.exe
% {0 s" A4 h5 W: [- S2 X8 X/ v! @4 w6 V# t2 n
如果您的U盘不小心被这个病毒感染,而您又苦于无法将感染的文件夹还原为最开始的情况,请阅读我下面的方法:
$ g6 {( h# P+ M$ ]; b* g
6 R: b% A% e5 X1、将U盘连接到没有中毒的计算机上。  _- {% z( u1 o& Q. v
2、使用资源管理器(alt+E)打开U盘。9 O* y- |) _' Q* w+ l
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀,此操作在【工具】-【文件夹选项】-【查看】中完成。
0 H  I  j/ T# \) g& e* Y4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
4 j+ e" v/ v4 r6 ^; ~5、将U盘内所有以.exe结尾,图标为文件夹图标的文件删除掉& e$ e/ D0 `  T6 X
以上步骤相信是大家都会的步骤,虽然说这样是将U盘病毒清理干净了,但是病毒留下的后遗症我们并没有解决。
  g* `" q. G# g4 h1 G# W' Q0 W7 ~# t: i% _, w
后遗症现象:U盘内所有文件夹处于隐藏状态,并且对文件夹属性进行编辑,发现【隐藏】选项无法取消。7 P- ]* e# K! B8 \9 A' M7 q1 l" |
) g4 h9 `! X2 w, H) `+ H7 X
对于后遗症的处理方法如下:
7 X6 W% ^8 T7 a6 T# M
% W/ O& b* B8 N+ w; O) }方法一:+ G8 F) g# n* r% D

* J5 Q$ O) f4 C) f# J/ R9 n1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
; t: V5 W+ W# [2、进入命令行输入如下命令:
  1. d:
  2. attrib /s /d -h -s *
复制代码
发现文件夹属性正常。
1 n7 x. Z2 y1 F7 y6 p3、将刚刚剪切到D盘的文件夹重新剪切到U盘内,后遗症就没有了!
( y9 }& a4 {1 E1 r! \5 @% ~1 n, p" r) T* R; r4 {  e, b! _
方法二:
% z2 t0 p; N5 C+ s# t7 f; }( A: y' O
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
, @% |( ~: G# p! W2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】,任意选择一个图标之后确定。& z9 J$ J* @& h. X5 |
3、再去查看文件夹属性,发现【隐藏】属性可以去掉了。
4 b# |( B" I+ ]) G: k4、按照上面的方法对每个文件夹进行相同操作,操作完成后,再将所有文件夹剪切回U盘即可。5 e+ O' E! K5 A5 P- y
. o) ]6 e* ]) s  _/ J
到此,该U盘中的幽灵病毒全部清理完成!
' \' I: `! F. E7 i9 _7 T( V& {% |; m; j) A: J2 s/ ]
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]
1

评分人数

收藏 分享
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

wmmy

Rank: 9Rank: 9Rank: 9

帖子
575 
积分
1897 
威望
2479  
金钱
15914  
在线时间
175 小时 

管理组贡献奖内部成员灌水王帅哥勋章支持奖章突出贡献奖刻苦努力奖优秀版主宣传大使奖优质人品奖章论坛元老管理组成员技术组成员
2
发表于 2008-10-11 12:40 | 只看该作者
直接用软件对U盘免于啊
( r! K# O! R2 G* d# n问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

TOP

柔肠寸断

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

帖子
3852 
积分
13044 
威望
16780  
金钱
36761  
在线时间
1139 小时 

管理组高手勋章核心成员原创奖章帅哥勋章突出贡献奖优质人品奖章论坛元老管理组成员技术组成员
3
发表于 2008-10-11 12:42 | 只看该作者
这就是昨晚群聊时说的幽灵病毒啊,我来看看文章先
2 }5 L" ~' Q0 Z4 e: }6 c7 T. g6 h0 Z: k1 [" u* T- Z  |
主要是没有中过,有时间发个病毒样本来研究下
. [( B4 f+ U' G  L( p+ d% H
' t- j5 h' B- }& y9 o& f还有就是连接没有病毒计算机的时候注意不能自动运行,而且要是安装了360的话,360会直接检测到autorun文件的
. m, _# o+ O0 {0 `6 a0 g5 u  ^; [0 x; l! P; p0 D6 M& U; w
并且直接删除autorun
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰
于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

saitojie

Rank: 11Rank: 11Rank: 11Rank: 11

帖子
416 
积分
1324 
威望
1596  
金钱
656  
在线时间
139 小时 

高手勋章VIP会员核心成员原创奖章贡献奖内部成员帅哥勋章支持奖章突出贡献奖优质人品奖章技术组成员
4
发表于 2008-10-11 12:42 | 只看该作者
那要看你的autorun.inf里面的内容咯
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

juchong

Rank: 9Rank: 9Rank: 9

帖子
439 
积分
1514 
威望
1464  
金钱
48263  
在线时间
276 小时 

VIP会员内部成员灌水王支持奖章刻苦努力奖宣传大使奖优质人品奖章管理组成员
5
发表于 2008-10-11 14:26 | 只看该作者
以前也经常碰到这样的毒,后来用了USBCleaner这款软件,就好了:) :) :)

TOP

wmmy

Rank: 9Rank: 9Rank: 9

帖子
575 
积分
1897 
威望
2479  
金钱
15914  
在线时间
175 小时 

管理组贡献奖内部成员灌水王帅哥勋章支持奖章突出贡献奖刻苦努力奖优秀版主宣传大使奖优质人品奖章论坛元老管理组成员技术组成员
6
发表于 2008-10-11 14:37 | 只看该作者

回复 4楼 saitojie 的帖子

z这个是我U盘里面的文件那个MAYI.是我自己搞的, 汗  忘记删除的命令了% ^. r' B% s2 y( }% B; j, Q
1 ?3 q  U/ U& C4 G' `7 R
附件: 您需要登录才可以下载或查看附件。没有帐号?注册

TOP

柔肠寸断

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

帖子
3852 
积分
13044 
威望
16780  
金钱
36761  
在线时间
1139 小时 

管理组高手勋章核心成员原创奖章帅哥勋章突出贡献奖优质人品奖章论坛元老管理组成员技术组成员
7
发表于 2008-10-11 14:55 | 只看该作者
对了, d/ {5 L' {: W- B
: Q3 p8 I9 }' u* o# T
问问大家
0 \2 Z& D2 F5 R; S( I. I1 |6 U" k% s4 P1 {4 ]) Z
这种免疫的 文件夹 是怎么建立的??我忘记了??
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰
于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

柔肠寸断

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

帖子
3852 
积分
13044 
威望
16780  
金钱
36761  
在线时间
1139 小时 

管理组高手勋章核心成员原创奖章帅哥勋章突出贡献奖优质人品奖章论坛元老管理组成员技术组成员
8
发表于 2008-10-11 18:12 | 只看该作者
知道了,方法是这样的
* A" E5 e$ W+ V% @, o2 r
" ^0 m; j- O# {8 e
9 `% N: `0 H% l6 g有一些高级、智能一点的木马,会删除你的感染文件或者目录。为此,可以创建一个同名的特殊目录,并且在目录下创建几个带..的目录:
5 x, W; q2 v* R1 Y- c6 [0 H' o! h  ]2 s5 P, l1 N% v: M& [
     在开始菜单运行里面输入cmd,输入下面命令(括号是注释,不要运行)( U0 y, U; Z# i! `2 }/ _9 Y
     假设 g盘免疫 (g对应u盘在电脑上的盘符)' x: ?/ F1 }+ E8 W6 M! M+ J

2 G6 u+ K# _9 f1 m6 P4 j+ \& U==================) I9 ?8 h% N9 ^( m; E
: k, ^. m' c/ v& T  y% L" w
      pushd g:
: m* j( {" t1 ^- ?# d. t( Q      md autorun.inf                 (新建autorun.inf文件夹)# M% ?- M; I" k$ J+ v
       cd autorun.inf                  (进入autorun.inf文件夹)) J! [" [7 a2 p8 S: X' l  _
       md abc..\                      (新建免疫目录.文件夹)" `3 q% V  l) I  U
       cd..                                  (回到上一级目录)) j  K* W9 B- J3 o4 v% G7 l
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性,或者按步骤1设置权限)
# h. z# H/ x% c  z" n% M1 s
/ Z7 R2 w; J4 b# m  U( }4 V' j1 {+ A===================
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰
于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

saitojie

Rank: 11Rank: 11Rank: 11Rank: 11

帖子
416 
积分
1324 
威望
1596  
金钱
656  
在线时间
139 小时 

高手勋章VIP会员核心成员原创奖章贡献奖内部成员帅哥勋章支持奖章突出贡献奖优质人品奖章技术组成员
9
发表于 2008-10-12 00:56 | 只看该作者
删除的命令好像是
  1. rd mayi..\
复制代码
记得有个隐藏的强制删除的命令的,不过现在忘记了,你看看在最后加上参数/F或者/X看看
阿呆主站:CISP中国网
注册信息安全专业人员资质认证(CISP)资料,心得以及备考指南。
阿呆的BLOG:北京SEO
这里时刻记录着阿呆在学习SEO及网络安全过程中的点点滴滴!

TOP

柔肠寸断

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

帖子
3852 
积分
13044 
威望
16780  
金钱
36761  
在线时间
1139 小时 

管理组高手勋章核心成员原创奖章帅哥勋章突出贡献奖优质人品奖章论坛元老管理组成员技术组成员
10
发表于 2008-10-12 07:58 | 只看该作者

回复 9楼 saitojie 的帖子

对,就是这样的/ O( K8 E8 Y" B
. e: g# u" u: r; L# u% j8 C
我忘记差不多了
; d% `6 l. P- d' M1 y
: z2 p5 d$ L4 s* ], \! R: p上次上网找倒的
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰
于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

TOP

返回列表