[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
9 |( X3 U$ X& s& H% _: |$ B  u2 R% T' J
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
. [9 S- H# `; i6 n: E  x1 R. r# m, K5 _
, E) Y" ~: `( z
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！$ a* l1 w, Z) r& W" z

: m' N0 Z' v$ T注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！- O9 k) j. l" i$ e; e( x+ Z' a

' _5 w: L$ H1 s4 P0 @6 u/ P病毒名称：幽灵（ghost）- g7 B. j' n4 M0 ^
, R& m8 r) e- Z4 E4 s0 {4 U+ I2 J
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe( w8 F9 _  `6 t; ^, J

8 M" V4 @4 T# T9 n0 C& j7 T5 N% m如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：% i8 ?3 ?. C* M; i

& J$ ^# v, t8 C" [1 y2 I" L1、将U盘连接到没有中毒的计算机上。4 Y: [# g  Y- \, k$ ?
2、使用资源管理器（alt+E）打开U盘。
" r! c7 F% Z7 {; H1 Y3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
% `" A( d5 E  R5 F( }8 o2 F4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
- D  U$ ?0 R% m5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
* F8 E* e  o$ d3 g以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。( a+ z  d  {2 M) p9 w& A0 t
8 ^& ^: \  Y! c  w7 h* E4 k2 H2 e
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
: D4 u0 v! c$ _8 K: x, K$ R/ y5 Y
  \  T2 S( H! o5 j. F0 ~对于后遗症的处理方法如下：
5 r8 O/ q+ i" X
4 M' L: ~* r# Q( ~1 V; }" S! O方法一：$ [, n$ d( h. z7 c0 k" V
1 `1 W1 n9 L% b! A. w
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）# c  w2 j& Z. o( t+ j
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
$ v. r1 ^8 b' r3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！' [4 x$ X/ o* E! ]; W8 p
- ~0 w$ a+ B; D
方法二：
# |, k- ~; c# R3 s  C- k" e2 J  j! F2 O2 G2 p: N
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）+ L! J* P% W. x# n' F
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
' M1 \" @% g# d* I( u# @2 s7 D3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
" |3 @4 |0 k6 S4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。& I8 j: b9 ^2 z* h3 M
! E. F: i) `; O3 h
到此，该U盘中的幽灵病毒全部清理完成！
& q/ p0 s% X) W* f; ]3 H- j! z- |' Z' t6 b
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊
) v0 E# k3 U0 A5 f) R  w5 K! Q问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
0 R  Y4 d; ^% u* a; v7 \
# P) c& O" F- K主要是没有中过，有时间发个病毒样本来研究下2 e" y$ \3 R, \' ?, U

3 @4 f( A( b" v) O! s; h0 n8 Q还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的
6 ?- x1 N. Q- Q5 ^1 ~' e5 ~/ f$ k* `- O) j3 W6 j( H4 r* x2 \
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
/ z0 {3 S! }. |& K: m( e& q3 `( Z; D7 L8 _8 T! L4 L

柔肠寸断

对了; I6 M. E  P0 |/ r% R6 ^9 Q

3 a$ U% Z3 i+ m9 h! h; `问问大家3 E4 N  f2 y5 X6 }- T
! W, C1 G1 G9 z
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
+ F3 k6 H; F. r* l( f3 W2 Z6 U
! |3 [: d- M3 r$ Y* [- I7 S
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
( K/ N* V# q) W) l9 J/ z2 B4 f: B8 ^5 @4 `4 t8 H
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）) F( h$ w! l2 S
     假设 g盘免疫 (g对应u盘在电脑上的盘符)6 x# [+ l$ v: l  N6 R& x
! X/ a6 g1 Z4 s" Z4 _
==================
) v8 P' z7 A! W% u1 J: @: u; z
" x/ v& }2 P" X1 ^      pushd g:7 ?% j+ p; T$ U8 k8 [) a' ^4 @' \( H
      md autorun.inf                 (新建autorun.inf文件夹)  T: @3 }& F3 J( o( z% X
       cd autorun.inf                  (进入autorun.inf文件夹)
4 z( t* Y: m( P$ M       md abc..\                      （新建免疫目录.文件夹）& U5 O% h3 S7 P/ ?9 d( ~) I" D
       cd..                                  (回到上一级目录): j  r$ }! k, _1 `. w
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限). `5 v/ j. j& f+ z; k: \
& M1 Z3 d* G6 i- b' h
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的; U: x$ T% \  x5 X8 q( K

8 Z0 c( f0 c( [7 f我忘记差不多了
+ i; i. t  l% e1 \
1 ?$ G: T& r9 [1 n9 P6 S$ A& u上次上网找倒的