[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]  i& H- J6 N' F# i# N' H

1 L# o' c/ f% T: n: Q. y$ l! T: V信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）) A) O+ G" M" y- O, ~+ c8 e

# m" L5 `3 N& i) ~) J  T2 a4 j7 y; r& y4 @; b/ T) F
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！% z* j+ C  c. L/ A) }+ x

2 d/ k- x. q' h+ H注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！: Q- M5 P# f8 L( i/ g" Z2 Y1 x
/ X6 W- z+ W7 f( d4 X# v9 `$ j2 S: e
病毒名称：幽灵（ghost）/ c: p! B, M' D( r' W
+ m5 Z, t! ]3 l7 p9 h+ \3 ~$ i
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
9 I( X. j; [3 {3 h" S  k: p6 Y5 x3 A; k& L6 z2 Y: g% m0 s% h
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：) _5 A- |$ O+ Q5 x7 b' T
& W* |" S+ Y5 _( B1 U( n
1、将U盘连接到没有中毒的计算机上。
- q0 ^4 m) }( @1 |3 Q2、使用资源管理器（alt+E）打开U盘。
% M- T7 t/ U# Q) }3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。8 W4 I' o, g+ O( A# {
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉9 r9 }* T, D. `/ [
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
2 w8 F# M  t6 ^5 x3 Q9 z9 Q0 I以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。  e0 _7 a( T# d( i
' k* ~! r2 Q2 `. o# V/ q0 I3 G: a
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。: L* o5 D( R* ^0 E3 x

: g, {1 L  i- r对于后遗症的处理方法如下：" N1 P6 Q/ `5 c9 D* y, [

5 G) u1 d7 z( z) L3 X9 z8 G方法一：4 s1 R: l) x: I4 P" J: }

8 J5 C" P4 H6 e# U5 o1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
8 m+ Z% L1 |$ J. P% S2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。& {# h$ w. k. N5 X. W) @
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！$ x) @/ S2 m+ Q" X# w( o

. }6 u8 a! a/ ^7 b方法二：1 ?/ c9 |6 h- N) X- x- M
; I% {0 v) e' j3 W. q
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
" D" s# a' ^  m" r2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
. ^- }/ m  q* T2 k7 }3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
/ O5 i0 W" n! y; C4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。0 `/ U, b7 w/ N  T8 |5 I+ K
7 {, g( e3 ]' d0 ?3 B2 ]1 D
到此，该U盘中的幽灵病毒全部清理完成！; t; f7 {* y3 k. X0 b1 T! T$ Q
5 D, a2 |2 W! K9 j6 N
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
5 w% \, @- g- G1 U7 E! P- K. A8 B问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
/ f( R' q" c0 H. N5 `; f4 M- \* W# E9 Z* n& r# @% g
主要是没有中过，有时间发个病毒样本来研究下8 K) Y1 b) J% q# S7 Y5 c' w
$ c$ ~9 A; a- C6 h2 e8 n
还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的6 E0 y0 e5 `4 P: V

4 Q: v$ u' ^& g3 @  h并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了" d) X2 O# v) K( c/ y6 y& h9 |/ B

3 r* U& ~3 ?) ~- _

柔肠寸断

对了
9 U4 Y* |) J  ^! c- ?; Y, _
, X- s& q, m4 Q! M0 X" D' k问问大家, S- d' [) E9 ?$ `
6 }# D2 C3 q( F' {- H% K
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
) d' K( C. q! U# m% p1 ^" ?8 R
8 ?6 e5 Z6 Z- X0 I$ S
6 z( h0 E* w3 H有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
, D" \8 O1 L$ G# G- A: g" t8 P" T3 p$ D( G! @
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）
0 q. _% C1 ^6 P0 T2 Z7 Y     假设 g盘免疫 (g对应u盘在电脑上的盘符)
; z! h( [- ]9 L- C
3 M1 h6 n$ i- R* U4 U: Q) D& Q==================
: X8 D- C' W6 p2 i7 a& f' _5 r  I6 K3 u
      pushd g:
: M  Q, Z, A, J" ^      md autorun.inf                 (新建autorun.inf文件夹)
4 h) M# g; W* s8 O       cd autorun.inf                  (进入autorun.inf文件夹)2 T" ~% w' ]5 m
       md abc..\                      （新建免疫目录.文件夹）
; ]6 p. b0 H' B$ X& \. t2 S( L       cd..                                  (回到上一级目录)
- e6 W8 b5 d& W        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
4 b& E/ A- v$ t* o: H3 B
5 K2 {, J  {4 c. U  ~- G" c＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的- Z0 u! m7 x1 A5 B' ?; @2 L# V; H8 x* ~
/ c/ B- O  X( A2 w
我忘记差不多了* @1 X: v# S( q

, R( i6 d8 w/ v9 a: y上次上网找倒的