[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]' A! ?8 W8 q5 E( d6 q' L. L2 {

% F6 Q1 _! ?6 s: Y; p8 b信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）" |/ k5 w; G) ~2 X

/ w* o& P+ f9 l" |$ i4 S; g& Y: z3 h$ `9 ]
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
0 |3 t3 _$ U+ i* Y1 X$ R5 j( I$ ]: L8 t  B3 N
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！0 D" C7 L+ e; w( ~' P! B, w) T5 C
3 p; U/ ^- @- y$ q$ x6 W5 r
病毒名称：幽灵（ghost）
$ J2 Y- E, V* F% M# L& g5 o6 U$ m5 [- k. w* L. i2 L9 o* [
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe; ?' P& p7 m- O! k8 D1 x

; Z9 o/ w/ X: h# T# q/ G如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
9 H9 ?. O  c7 L& L( w
0 u# J2 Q0 b3 J6 p7 l9 {; Y1、将U盘连接到没有中毒的计算机上。
  X; H8 r: q% Z- u- G8 r2、使用资源管理器（alt+E）打开U盘。
8 n% ~" @0 D, p( c0 J# |/ ^8 Z0 I2 I" l3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
' x& w( X; _. [4 C/ I# ^  A4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
5 D# M9 v& p( u' A; a* ]- b( z5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
( j7 A& E2 J. Y以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
) @: f2 j3 z3 w; }, a2 J1 c7 J9 R* |5 L' V( e" a' `
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。' h/ G8 d' `; ~( a

6 z0 n& H) W" v# d对于后遗症的处理方法如下：3 h0 I* t( D- o

* O1 {$ G7 _" N5 t# ]) x方法一：: u8 u1 w) E) b$ J1 L1 q# f
  x4 C6 h; N  r) u4 A( h
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
3 s2 q+ N0 x2 T- I# K2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。. ], G8 N' J1 I2 q* f! N$ w
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！7 Y7 J' D* H  u1 T8 F; h
& k& B1 y& P* Q) s7 A2 ^, q0 ^4 z
方法二：; _7 P5 Q: @5 d7 h6 c1 p

. c2 R  V) @9 T1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
1 S* i, @- f% C+ ]; ^+ D2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
, ~4 T, A& b  K3 a3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。3 H! @3 O( i  _9 A- {
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
. s; J' U, i7 I; @5 {
- i# x0 A4 Z7 b. W" s到此，该U盘中的幽灵病毒全部清理完成！. y) [! G1 W/ J$ H; h

! a1 Y' B! n9 D' H[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊$ }6 B# j1 Q6 u8 n* m% |
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先6 V* K0 r9 l/ c

' c4 G* T" J! [! @+ b1 j主要是没有中过，有时间发个病毒样本来研究下
; E/ U" [- ]2 p+ e6 ^1 g. e
/ g( s  K" {/ X! G" a还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的; D6 r( M% `6 }# p1 }( l# X
& u  O7 D$ k4 u% S9 N; u% _# E
并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
- q& |# y" Z4 y/ v! o0 g8 q5 A- w( D% o- [9 a. T) A

柔肠寸断

对了$ F1 m8 d: S0 F/ X+ w9 R
7 Z6 S; x# {! X8 N  `
问问大家
. Z% W2 o! u" e: X$ Q
$ ?% H! T/ c5 t3 @+ X这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
" ?6 X+ n! t& e8 f: D
! z/ |0 }& D4 z/ |* y& q# [5 K3 p) u
有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
  s2 Z- O/ G. ]! W. Q* S' u  h
8 P! e0 I% ^- N8 i% J     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）  x4 s+ b1 v: R! y
     假设 g盘免疫 (g对应u盘在电脑上的盘符)( n$ M* v/ L5 l  L( M

5 `% H3 Z. c" h* }) b9 M==================
  w' \* |" k3 W1 i3 h8 |& s; P7 v; z
+ C/ e: Z, j+ v      pushd g:9 m9 C% K( }0 i9 [
      md autorun.inf                 (新建autorun.inf文件夹)6 P% k& F3 X. v* \" a3 [
       cd autorun.inf                  (进入autorun.inf文件夹)
2 y$ l. |- H) E& r" A       md abc..\                      （新建免疫目录.文件夹）* V+ V4 ]2 a" ]8 @* I  N
       cd..                                  (回到上一级目录)
9 D# v* Z* T0 }. c6 x) o* y        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)2 O% P0 o# h* m1 R
' T7 C/ g6 \- R0 T; B8 I$ ]
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
7 r3 O% C% |' b4 X* q5 k$ S, K, E" V3 y$ @+ E5 l- c% M
我忘记差不多了3 d! B* D! O  Y

1 a, A5 Q- J: F' |- q" o8 S上次上网找倒的