[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
% n2 o) f- G  \1 a, a- }4 [1 N7 {9 w5 Z+ R5 z+ ]& l8 W
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）
9 {/ T6 A7 V: Z, H. d9 N
; W' p8 m1 C1 ~  n+ r/ J/ m' K% r! |2 T, K' x
最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
7 z  o/ \. o/ h7 n1 L' b/ i' T2 U! r$ i, A- X% B" E% {4 q7 Y
注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
: E0 r: D* H; Q; l! a( P9 `) C
/ r3 G: c' w% g# a) b( T9 v% ^病毒名称：幽灵（ghost）# ^: w, g# y9 c) o; s
3 ?( d+ v% n; y, a
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe2 F3 ^$ x! T% v8 `% J

' t1 Z. g- Z) y7 l8 C7 ~5 D如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：" F  a/ ^+ c/ a9 d+ b$ B, N

2 c8 J5 w! C  R5 _3 A" Q1、将U盘连接到没有中毒的计算机上。5 s3 r( ]6 K7 }6 O
2、使用资源管理器（alt+E）打开U盘。
3 O8 O  t4 i% U: Q1 [2 D9 K3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。) O& x+ Q0 }1 S  H! C
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉# |, k3 D% t2 I& {8 F4 E3 E
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
3 E/ S6 H, ~, t9 D以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。
2 p/ t9 W1 ~" [! k8 [/ }6 Z! z+ I  j8 w3 j
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。9 m. ~. N; K: I$ t

3 _0 i; G% Q8 A) q: H& I# u对于后遗症的处理方法如下：) C' j: i/ _3 [% E% ^

* z5 Q( A) H4 W1 }7 R$ J( @方法一：
' ?( d- G( K+ w& |0 q7 G9 ]: b+ u9 X0 `. \3 [- C' N
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）& l% c6 y# z+ t2 B7 i. }" H9 L9 O
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
0 j9 m& }% w% {& d: i3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！
3 f- _+ l3 q9 H
  X% K+ C  {" X4 m' M1 {方法二：
& k! V1 G/ ~: H+ |9 b. N) `: R6 d1 y9 }+ s, f3 T
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）. o" H8 `# [3 c& g8 h  t6 ?
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
7 K- B* F/ j4 a$ y/ o  v0 H$ j3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。' l& Q7 o$ p3 x7 n, _
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。
8 C% U7 @' O* a# n. g' i5 ^: E" h' Y$ j+ k3 D# E/ Y/ V. s8 Z
到此，该U盘中的幽灵病毒全部清理完成！
% V! h5 ]$ Q  m, y1 m3 P( v
$ k3 i. Z& S/ b' Y) D- y% }2 {[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊! n" n7 b! m2 r$ |0 V- a# F
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先* C- S, o: F/ W& c2 C6 @" `5 R# ~1 L
9 r* N) }: e. t' S; u
主要是没有中过，有时间发个病毒样本来研究下- x5 ?4 d0 U9 n' @* w

3 l/ @( q& e  l4 w还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的6 v3 q8 p$ W- ~: x' a

  X; N, k' ?& [# Y! E并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了# I3 G8 z, P6 h/ J5 A

6 w0 _( u$ u" G$ V; e* K

柔肠寸断

对了" _9 I0 A+ {$ S. G

* K/ r2 F2 r3 [. R) Z# m问问大家
2 F4 q) F; m. M0 J9 w( b; {- k' s+ d+ ]
' h- ?& w! ^, ~- F) }2 B" e4 B这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的% f" ^' ?& ]* J. C) ~' f4 y. b
! i  K4 h% [0 o, N

; e2 O: F) q) j* f9 N% @有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：: @! \! A  s% ]2 G  |% L( R6 q
7 V$ w" i% @$ X7 a! C; }* H
     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）( }+ x8 o9 f1 q1 d8 E# M
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
; K- e$ \' w$ B+ F+ d; a
: w% i) k. g  K  ~==================
2 o  o' x2 ?: f3 H+ ]( x$ R* {$ F% ], F5 i9 V
      pushd g:
1 D" {7 |- w9 v) x' ]! ]; j& j$ L      md autorun.inf                 (新建autorun.inf文件夹)$ f& W. w0 _2 a5 S- i: B8 q  z: _' S
       cd autorun.inf                  (进入autorun.inf文件夹)& u% O4 `* g% G! p
       md abc..\                      （新建免疫目录.文件夹）& B; F8 _! p5 W$ D
       cd..                                  (回到上一级目录)( o3 S& y+ ]! U, s
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
3 c% T( [/ k" q' `
9 a2 D% i0 e- T- p( J! e9 |" {＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
6 C) g& b2 z+ C8 y2 m" `7 S  g7 t) A& M; Y0 \) \7 I. K
我忘记差不多了+ _+ Z  @; H# K- t  P8 X, }1 M- C

8 a. u' U2 R+ z; l+ ]" x上次上网找倒的