[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
0 s( Y3 E8 r; U3 K8 I! @4 B( j
7 ~4 j) G0 s4 z信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
! t: T. S+ ?! B/ I" Y+ M
: K: Z5 q+ c( D0 D
5 T2 V7 s- ^# Y; S7 H0 G: b最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！# ?) i/ ^$ p& p% |

& k0 d/ Z  _  Z7 f$ |5 P4 W注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
3 X& ?3 Z2 T4 f9 Y* M  S" ~% _' c& r/ X5 d' u' h5 F7 p  m8 a7 M9 @
病毒名称：幽灵（ghost）
1 p/ {3 Y" H$ V+ s1 h/ `  `  b6 Z& t* ~$ r) r9 ], E
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
, I) ]  q, C( S% }
$ g8 Z' J& S& J7 a如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
# \0 q4 Z0 A( n# \  j; k
, ^8 A+ b+ b3 p; N1、将U盘连接到没有中毒的计算机上。0 Y) A: E2 ?3 J; T: Q( A( C
2、使用资源管理器（alt+E）打开U盘。
- Q; V: C% ^4 d1 A& `3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
. @' K6 {9 Q" B1 z. j4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
0 t; R* a. }1 s7 }1 g5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
1 i) [8 [) o; @3 w! ]以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。& K8 a6 B! }% h9 H. {* }9 J$ C* L  w

- [/ R4 o# u6 k  `; _9 p8 ~后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
: H4 G+ m  ?, w$ Z9 ^' }$ j
( |8 K: H' R% S; I) g' w0 J& }对于后遗症的处理方法如下：9 f. c# J2 {1 ^7 |3 g. ^) U3 Y
# F( h- u; j5 N4 b, {: z
方法一：/ Q  H( A- ?4 C% ^6 }) h/ Y, }
6 t6 G6 M; H% J) D5 S# W' b" V( {) u
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
' E/ A$ j" k& E9 u- x7 C2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
- [+ ?; [7 S) g3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！6 j2 s$ G2 {5 k3 P! ^' ^

; A: ^$ X6 L2 }' y方法二：' a6 X3 i+ @( p0 R- U; \7 M" C
  Z: b% V5 X, Y, S; c1 k7 j2 a
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）+ f2 g: n9 z, P( O1 ]" L+ W
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
0 z2 }0 r: N. ^3 G1 ^3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
/ L- S* s  p4 M. G; ]) p2 n4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
' F1 f& f$ Q" W! k% `2 ?5 E  J, L/ M+ \( f$ H) s+ l
到此，该U盘中的幽灵病毒全部清理完成！$ i% w8 n! o$ I/ Z2 O/ T
0 S# W; u1 l8 E" H, {# x6 O
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊2 y6 q! l) s, d6 }
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
3 P# |& P( E, N. r: j$ V/ @$ k- K$ H% j) k$ ?( j4 ~
主要是没有中过，有时间发个病毒样本来研究下8 f( l' k# t) L1 p8 D

8 X. r4 Y1 r$ Y6 S还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的' b9 Z" V# U9 R4 J6 d
3 w' b2 X8 I% \
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了8 z8 ?; n0 g* e
7 C9 L9 A: M- z8 b2 Q

柔肠寸断

对了
/ M- }, S: }9 S3 m3 g0 c
9 `" u9 y8 D% ~+ M1 ^问问大家6 W3 A. y; k) s7 n- S( Y
, i; x' {( I6 t# q% t
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
* J5 }& S7 j# M. R5 E. S, U3 ]7 v4 r2 x. y

% @4 c7 |! i1 g+ k$ e有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
% E& L+ A' D( \# f! T
+ y: d: I5 ~7 R" a5 A     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）, ^1 n0 H' U$ B* v( ^
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
0 p7 u0 g2 b- {9 K; t" |
3 M; J( W8 N8 C' I% f; r  t! j==================, I9 q3 Y* Q. S6 l! G. f" K/ V( ~
  N  N7 T# @3 `3 C% {. R5 G. z/ i; h/ C
      pushd g:
7 ?$ T4 H, Y7 e6 F3 Q      md autorun.inf                 (新建autorun.inf文件夹)2 d8 N2 O9 W  I7 j" J
       cd autorun.inf                  (进入autorun.inf文件夹)
3 A! Q* x- y" F& T! e       md abc..\                      （新建免疫目录.文件夹）* W; @2 V7 Z8 }7 _  Z1 Y
       cd..                                  (回到上一级目录)6 f) H% p% \) d' u
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
- }" j( B: v4 }' t4 n  F+ Y* P( l' [. M( U( Z9 `
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
, S7 a4 T- c+ y0 t; j( s; r! a
: G2 |: X" M2 u/ D我忘记差不多了- a# g4 B( U  j8 Z& N. W# D% p2 u
) a" n4 y( ?  _6 y( A
上次上网找倒的