[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]) H) _' N" {  `2 k, H2 ?0 i
3 b! N: r  n4 X7 p' v5 N
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）% Q$ p, M$ c$ ^. j( B7 X

$ r. }* Y+ W( g. o6 @
* w4 Q/ t) z/ H, |最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！: S% H$ L3 B, O! U& _
8 p& M8 y+ ~# F7 |6 y; G  O' c4 X
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
* P; S; x- j9 r4 C: @
; R- }' d) y* N8 X$ Z# B4 V病毒名称：幽灵（ghost）
3 I9 c+ M& O/ R& i. g! z& x% `' q+ I2 Y- F8 c; d
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe* U% Y5 a* I0 `  ~; u

4 A" `+ l7 c- n% B2 x& @  m如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：, x! V7 F, P8 m8 r! f2 P
$ E7 @' g5 A! @6 J* P' a
1、将U盘连接到没有中毒的计算机上。
( ~6 [- m3 z* c  v2、使用资源管理器（alt+E）打开U盘。
6 l/ L) i) ^- h3 n$ A3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
! X9 ^8 M! U; r; e4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉* y% c! b0 d( H0 c' ]4 I6 L9 \+ f7 w
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
6 }. k5 k1 ~" c# }0 y' |以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
" ^: ~7 }% {( _1 P! m' i+ ?- M
8 W  Z- s6 W6 A后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。9 N8 N  Z% {9 q/ O: j

3 O+ c9 I) p2 w! V7 b' L对于后遗症的处理方法如下：7 F6 X! O  _4 x% A; @2 u9 [
  w- g1 Z1 v1 w% C( u$ k
方法一：2 ]- R4 S/ G1 u# m0 T+ J

# v2 j' Q! F( h; T. I: e. \& I1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）4 v5 w6 |: Y! W% E. a! E! D2 U
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
* u4 X0 y5 F( }2 e8 S2 k- h3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
9 b. g; v$ Z. _; F
' ~& O6 e: s. a  |方法二：
- }3 @& @% s3 F1 z% M
: |+ z; z% Z% s( x' v7 w' g  I7 H6 f1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）6 _9 ]# M/ c" I/ x6 d
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。1 \% ?3 ]+ H6 y3 s
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。8 o8 L9 _# ?4 W
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。6 G* i1 h! t& ]9 T! I' v* Y

6 f$ _& E% T$ a; f到此，该U盘中的幽灵病毒全部清理完成！
. t1 J' e, i+ u7 I
# E- {% {# B* M' O[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
$ n: b; H# S" `) R! G问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先1 J, V8 P) D4 U

) A0 I0 f) P3 B9 U2 w% o$ s( }主要是没有中过，有时间发个病毒样本来研究下0 k* U5 Z0 A6 M* z
% J8 z# V+ ?- S6 H- c( j& z9 u
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
/ Y" S6 E2 E, ^% g0 ?( x- W1 f
( l! }. O) K: Y4 {2 W& X% ]并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
% N5 a6 A: C( e! x+ c* f
9 |. C- D8 c4 I6 ?5 A) q; t$ ^

柔肠寸断

对了* J8 l' F8 B2 j/ x0 o4 s

- P3 J7 m2 ~* {" |  p" f# C. m问问大家0 v4 ?9 y5 Z5 Z+ B( x0 q/ ?

3 w; {1 {( g  N7 r  u, B这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
, M' c0 A3 ^3 h( d; \& Q: O& o: }& [& D- R+ R$ I
  A  V8 @# I! ?$ m
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
; {* S  A8 ^: @! Z# _" Z! q3 {- @- ?& F, s8 Y3 E2 W
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
" l- K& y, w8 a; C2 s- N     假设 g盘免疫 (g对应u盘在电脑上的盘符)
% H: q9 Y4 t) M* R& {4 s" u' E, g6 u2 @8 e+ g# H5 q4 T
==================
# C6 P& I, o9 D7 \* N/ A" w; U8 ^% S, F, p% t
      pushd g:
! q+ \; s! }3 b) R* x$ X9 ~* ]      md autorun.inf                 (新建autorun.inf文件夹), W1 o& U% @" b5 U+ [: o
       cd autorun.inf                  (进入autorun.inf文件夹)
8 |; c' |; ?* U6 L, d- b' X       md abc..\                      （新建免疫目录.文件夹）
0 `$ E; g6 d8 d+ S3 t, d       cd..                                  (回到上一级目录)
! H1 u# o: q% t        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)( E/ Y2 @' b, d/ V6 W

! t' W  _0 |( x2 e. k9 b2 [＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
  Q% }1 y, M# c+ \! z( X
) p5 n6 a8 H+ a/ \8 |我忘记差不多了4 l0 |: H; G' s2 j0 ~2 h& U9 [

" L0 m8 d) u+ T. |8 @2 S上次上网找倒的