[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
4 M" b$ j4 r8 c& a: c4 w6 Y& U- R( Q- \" O+ I* T! b, W
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
: l7 Q6 B- r0 \  c* h# V6 A7 Y8 i6 n) x0 \8 d
3 \6 o$ j! J0 H: U5 d7 ?: G1 Q1 G6 ]
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！2 {1 ^. t7 U9 ]$ ?- u0 }* a
2 o3 C; m( ~, ~/ t7 q1 f
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
. W& G$ j1 u! U. w6 A; U/ c+ ?" W6 f9 ^+ G; E
病毒名称：幽灵（ghost）
) O6 s) c/ f( }4 e# T4 Z" f2 x6 _7 G9 T8 E$ C/ w, w# Y# l2 B
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
2 Q6 `% j6 c7 q2 s/ k) O& R3 b( c$ q- Q4 ~" v/ }
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
/ y1 v  Y, _; `- E* v% v/ ^. ]; i( y$ @; Q' ^6 L+ K# y$ y
1、将U盘连接到没有中毒的计算机上。
0 s1 Q5 H+ ]+ ?1 ?  v2、使用资源管理器（alt+E）打开U盘。( b$ b7 j+ o- A) D/ n0 z) i
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
  P/ y) s! U8 E! A4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉* Y3 e" |* _- G% u
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
, o2 D+ Q2 G( m# I% S以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。, N" A0 J) }5 ?& W" o- j: h
4 s9 r7 e0 r# V2 N) H8 `) L
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。9 a! b& {* @9 w. |: S' I+ d

0 x4 W# p1 o  F9 @* i8 G) E& j对于后遗症的处理方法如下：, a% ^; ^+ n: k  t

+ [# p+ G8 L* S) f" v  L# ~方法一：6 d8 s. n: ?" B8 L8 j6 ^/ y- p
, a% T0 j5 ^( R' w1 ]' f( X
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）/ `% `) w2 m& S" n* f" w7 O
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
/ w. g8 q3 S9 J8 A3 V; O3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！8 Y/ ~7 ?; B# b; h5 A

! I- v* k9 c. _" @方法二：( @4 N, }  W6 y4 Y( Z
5 z( M% W6 r# I
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）) s* F0 b3 l/ t' O
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。( z) \# A0 h$ y- C$ A" c$ Z
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
& R/ n7 c' c  B0 d, X+ r9 v4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。( a. O4 b) F4 P1 H1 h1 |

" ]) W; A) z& c6 Y( W' R# P! F到此，该U盘中的幽灵病毒全部清理完成！) @5 I# v: W8 {- o7 ?' j, _6 R

3 U; L" N$ a+ @[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
0 n+ F& b6 |; ?7 l) v4 c- g- D问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先0 l0 P$ c( i5 v! b0 i
" z4 J" e" j8 O2 f$ g
主要是没有中过，有时间发个病毒样本来研究下5 n. z6 ^, Y  l3 [# y& Z

7 g0 w: Q4 Q9 D$ \. C还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
) I/ ~0 r! S6 u1 T) t, S; a& J' W( Y) J0 k- L) |8 g
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了; \7 I$ h; D9 o7 T9 P( U8 M

; t+ s1 B" y" T/ I- l) c- t

柔肠寸断

对了% a$ W$ G9 }: o1 s6 P
' d+ U! ~& x; [, T( B% _' L$ E
问问大家; u+ W/ N7 W1 ^' J: j" o' `

. W* L8 b0 D% y; O3 f2 B+ l这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
$ C: a5 Q5 I& V# ~' |( }. ^5 |6 r' K' Q2 q9 h, j
4 T# u; T7 r9 l9 F
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
, }7 s! S& r! f0 a3 F: G) D
, r; k% o5 `7 G1 h% r/ q     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）8 _" Y# t. p: I5 m6 ^; ^
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
0 h3 q  S4 T, d' B% |" R- t/ `
7 l% U: Q' H2 g0 O; e! J==================: Z* J: D+ Z3 E, Q$ g
. A/ Z- T; ~3 y
      pushd g:( d/ ^) f/ f/ r9 H  F* M4 {: f
      md autorun.inf                 (新建autorun.inf文件夹)+ A# f( V" G2 L$ G" z& Z9 {: o
       cd autorun.inf                  (进入autorun.inf文件夹)2 d6 [+ d5 G$ ~' d" A; r3 s
       md abc..\                      （新建免疫目录.文件夹）: k8 D( q  \! K( \- @
       cd..                                  (回到上一级目录)$ w4 Z4 P$ r* `: B
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)1 O/ g- [9 @  j7 J- \- m; X& p
* N) e% M% e7 @3 W0 R. I" c
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的) m3 y0 I. n2 w; i

3 d7 V6 k/ G2 f5 x2 o我忘记差不多了
" D5 k, M( }& W0 ]3 a
3 [# A! F' N* W! i# j2 I上次上网找倒的