[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
& A8 [( b, [5 z+ n9 g6 }7 ]/ O' P, c3 n, p* _
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
; k4 j9 o* i* ]* R7 J& d. t+ _9 q* E! G% r1 U  o
0 q) p- e* n7 b, f% \
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
: V; a: T8 f6 F0 a$ n; x9 K  D9 D/ }) n4 y8 N
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！  v+ Z" u( @9 A, [
0 Z. v2 f, R; R
病毒名称：幽灵（ghost）$ W1 z4 ^: t$ Y0 A

9 v( N+ }9 |6 j病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
6 u& D# S% }2 Q1 k: E# w: @7 m2 g( q8 _% a
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：. s% P. w* x8 l+ B8 ?/ X4 X
1 i; X0 Y9 [! O4 a3 o) `6 \
1、将U盘连接到没有中毒的计算机上。
. ^7 Y. L" ~0 l% h# x2、使用资源管理器（alt+E）打开U盘。
' h8 W; P! o. u" `3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。' y1 i" L2 w7 j' ^
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉! x4 v, h$ s8 V
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉( ~# T1 c: y4 G* z* w2 u2 l& ?7 y
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
' n# C" I# W3 v# P( W
* b" c6 i) G$ L1 E* j2 U后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
( g# x$ }6 D$ R/ u2 ?. d8 H  `" X! I" h& n. @: y
对于后遗症的处理方法如下：
5 V" j* ]) S: A4 i
  X6 P0 n, \* E# l  I4 c方法一：# m- |$ t- G( d

/ z9 K' N" s% M  s- F1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
% e* H/ t- J1 C- H2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
  o6 t5 P' z2 ~& `6 z5 h3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！/ v3 u$ \5 l& p3 r

9 {2 j: _; k% `3 h/ h方法二：  U- S3 |- N8 w) N2 a
+ {2 @) n% N: S7 Z2 m3 @  A
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）3 b9 E8 }- w& I' B% [* m
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。# q( U+ _: I. |' ^5 D
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
/ I2 p$ r: n1 B: ]! j6 s6 E4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。( L, D+ |3 G' Q# E) {8 M

3 l# H9 G' l$ T7 b7 U到此，该U盘中的幽灵病毒全部清理完成！
! S$ B& o# |- q  ~8 X* R1 V
. |- S! |! y4 }: f  R3 O[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
- ]$ l5 @9 l4 q( O* ^8 x2 E问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
1 v: V5 |2 e5 y' Z& U8 ]4 R$ P7 n& ?- L$ }2 {
主要是没有中过，有时间发个病毒样本来研究下
7 d) [. n7 A1 M5 z3 W4 d( L- x) t, q. v' _6 v
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的' l% \- P) P% d/ J

/ {: u5 i7 W8 Q+ ^0 ^并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了- c: ^0 s: Z. ~9 f4 A0 \- P
6 G( S) Z, J' i! D% b# M; ?

柔肠寸断

对了' t0 F5 f/ c& o- ~% H5 i* s* V

7 |2 I& {' X3 l0 C) m( ^问问大家
: m- @( Y0 X% Y4 i8 {  D
- E$ m! \* E: Y这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
5 N/ z1 j5 |7 G$ R/ M: V: L+ n7 q2 W8 }3 F" M5 k' M5 u

* n; I4 l& r# Q& K, L8 I6 k有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
, y4 a$ T6 ^& L; i
  q% G5 l+ W' ]$ a     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
& ~) I  c" ~) t% j/ U     假设 g盘免疫 (g对应u盘在电脑上的盘符)7 n/ e& h2 B% ~5 ?) c% R; U" `1 N6 Z

; q! M4 k. ?# H9 s: P==================& s: a6 W: I1 C- w" n- q
6 y: |- c" W5 a/ V" }
      pushd g:8 X8 G' s3 X2 X* h& X  H% _. d# C
      md autorun.inf                 (新建autorun.inf文件夹)
) ^1 L$ d5 x- `3 F# X- ^       cd autorun.inf                  (进入autorun.inf文件夹)
( T7 X& S) ^/ G& Q. y/ j: ]0 s' q       md abc..\                      （新建免疫目录.文件夹）
% _1 I7 R! M) F$ B% }# T       cd..                                  (回到上一级目录)3 S5 L/ p) k) w: R
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
% t8 `4 Q( o0 `8 l
7 O$ z5 Z0 _7 h9 r1 {5 ^＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的6 u4 L8 p2 ^9 L4 r  r! n9 {" x9 \8 }
" X7 W+ c- T% p" {4 x5 V! ]
我忘记差不多了  z/ K- ~9 [' _$ Y3 l. `* Q. H

* w) E7 d  M0 }: K& A上次上网找倒的