标题:
[原创文章]
对于U盘内永久隐藏文件的处理
[打印本页]
作者:
saitojie
时间:
2008-10-11 12:22
标题:
对于U盘内永久隐藏文件的处理
原创作者:saitojie [3.A.S.T]
- ] h6 Y/ @5 @; w9 S9 _3 Y: g0 N
+ R( j" K' r& G/ a0 U7 a7 e" P
信息来源:3.A.S.T网络安全团队 (
www.3ast.cn
)
, x9 R; ~/ Z1 s0 [
+ U. N3 m1 E. N; n) k4 Z( n
' z% G7 v5 w3 y, Z6 F) M4 t
最近由于工作繁忙所以帖子发的比较少了,在工作中遇到了一个情况,我的学生U盘中毒了,而且是大面积中了这个毒,天天帮学生杀毒,杀得有点累了,不知道坛子里有没有人也在被这个病毒“迫害”,下面说说我的一些处理方法!
8 a6 k- r" f& ^ r7 G
) S$ a5 A+ H& J# `
注意:我的查杀方式仅限于计算机没中毒,但是U盘被病毒感染,如果阁下的计算机也中了该病毒,请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件!
" p6 a8 H; g( U( T/ }
- H3 u) A% y4 l) b
病毒名称:幽灵(ghost)
' T% V8 ^& b0 m& i; Y9 F
: E( A: z5 p$ ~5 G% P# u" U
病毒现象:U盘内所有文件夹被隐藏,并且在U盘内生成与该文件夹同名的文件,文件图标与文件夹图标相同,后缀为.exe
% J4 o0 f1 a5 `* W
" _" e0 @: K6 \
如果您的U盘不小心被这个病毒感染,而您又苦于无法将感染的文件夹还原为最开始的情况,请阅读我下面的方法:
0 c7 r. A- j0 S6 U
% m- l) x4 c9 w7 } L
1、将U盘连接到没有中毒的计算机上。
. ?) x6 i4 J5 ?) X
2、使用资源管理器(alt+E)打开U盘。
2 z) }/ @! \7 N, s2 e. m! @3 g
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀,此操作在【工具】-【文件夹选项】-【查看】中完成。
8 W1 \- }: S a- R
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
( l8 o8 O2 p V
5、将U盘内所有以.exe结尾,图标为文件夹图标的文件删除掉
3 Q/ f: @! o5 ~5 I2 x& e- x
以上步骤相信是大家都会的步骤,虽然说这样是将U盘病毒清理干净了,但是病毒留下的后遗症我们并没有解决。
! S; d6 i5 O' C* P/ ^5 o, t: s
- ]* e7 M& B9 s; C& [8 s
后遗症现象:U盘内所有文件夹处于隐藏状态,并且对文件夹属性进行编辑,发现【隐藏】选项无法取消。
2 O& @4 H9 M8 m: X1 W
0 D, a- I. M; I: v3 o$ Y
对于后遗症的处理方法如下:
$ s1 ]9 _$ Z, S: U+ a$ D
) R3 c" ?& b) G; r- F8 n" [& K" w
方法一:
4 a6 [# D! Q& P3 ]5 x8 T7 R
* ?% v. N6 K; n, o1 _
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
" ]1 A% W* Z# j2 j9 T8 F
2、进入命令行输入如下命令:
d:
attrib /s /d -h -s *
复制代码
发现文件夹属性正常。
# S* e! | M, ^
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内,后遗症就没有了!
* ^0 ^+ c- s J+ [
- ~7 i4 S6 v; s8 V0 S* k
方法二:
+ Q1 M9 e4 ~) v
( V# D/ t% }3 m k. `
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。(我这里以剪切到D盘根目录为例讲解)
% {1 @' l. m9 w% M1 M; f' E
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】,任意选择一个图标之后确定。
4 i+ z( B1 {5 V8 F
3、再去查看文件夹属性,发现【隐藏】属性可以去掉了。
1 u1 B/ }. R3 F* {
4、按照上面的方法对每个文件夹进行相同操作,操作完成后,再将所有文件夹剪切回U盘即可。
H- D& l: d* |
! I# A# ^9 L0 l+ @' p
到此,该U盘中的幽灵病毒全部清理完成!
8 W+ Z( q4 `+ p% O
& i" W# J4 _: H1 E w+ ?2 h5 f
[
本帖最后由 3ast 于 2008-10-14 20:26 编辑
]
作者:
wmmy
时间:
2008-10-11 12:40
直接用软件对U盘免于啊
; G" S6 ?1 b. t0 M7 M
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧
作者:
柔肠寸断
时间:
2008-10-11 12:42
这就是昨晚群聊时说的幽灵病毒啊,我来看看文章先
9 Q2 l* m; i: L. z) c# x
! ] j' R1 N* ~2 B7 C
主要是没有中过,有时间发个病毒样本来研究下
0 j f) C* t- _# a0 A6 d
( g( h3 V: Y7 D( [
还有就是连接没有病毒计算机的时候注意不能自动运行,而且要是安装了360的话,360会直接检测到autorun文件的
0 D7 J: ^* V6 A, M1 C# c' v
1 \( f8 O. I ?
并且直接删除autorun
作者:
saitojie
时间:
2008-10-11 12:42
那要看你的autorun.inf里面的内容咯
作者:
juchong
时间:
2008-10-11 14:26
以前也经常碰到这样的毒,后来用了USBCleaner这款软件,就好了:) :) :)
作者:
wmmy
时间:
2008-10-11 14:37
标题:
回复 4楼 saitojie 的帖子
z这个是我U盘里面的文件那个MAYI.是我自己搞的, 汗 忘记删除的命令了
" U$ {& `% M! m
( b! i, Z+ M9 D1 q
[attach]543[/attach]
作者:
柔肠寸断
时间:
2008-10-11 14:55
对了
2 }$ j3 m1 V& ]4 i8 \; V
" I, s8 z" k$ M y5 K
问问大家
. Q' D2 K: R' H" X/ b
6 M2 A5 u( l' P- d+ p" u- u1 A
这种免疫的 文件夹 是怎么建立的??我忘记了??
作者:
柔肠寸断
时间:
2008-10-11 18:12
知道了,方法是这样的
/ T' y- N3 C% U- h6 t
, j1 m/ a7 @( ^6 b& e
3 e6 k- s; U# J( p( K
有一些高级、智能一点的木马,会删除你的感染文件或者目录。为此,可以创建一个同名的特殊目录,并且在目录下创建几个带..的目录:
3 ]5 y$ ?2 A U& [
- h$ d4 {6 a: k4 n
在开始菜单运行里面输入cmd,输入下面命令(括号是注释,不要运行)
* c3 T4 [' J m% U# H
假设 g盘免疫 (g对应u盘在电脑上的盘符)
7 ^" v2 P/ I) [* F
8 A0 l- T S0 ? {( p- y( S2 u
==================
( X# G6 b/ v6 J7 E9 \( ^
1 m9 d" \- {: ]3 D4 K; W& K
pushd g:
/ _: }! Y4 l& @
md autorun.inf (新建autorun.inf文件夹)
2 b2 Y/ u& M! h5 s( b L, w
cd autorun.inf (进入autorun.inf文件夹)
, \- x# U- h4 j7 t& h( x4 l
md abc..\ (新建免疫目录.文件夹)
t& K* [) D' M$ d
cd.. (回到上一级目录)
( n$ C1 r4 S$ ^* v- l
attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性,或者按步骤1设置权限)
# P3 k' t7 ~( S
8 K" Z+ _3 w. K Z9 x; ?; f
===================
作者:
saitojie
时间:
2008-10-12 00:56
删除的命令好像是
rd mayi..\
复制代码
记得有个隐藏的强制删除的命令的,不过现在忘记了,你看看在最后加上参数/F或者/X看看
作者:
柔肠寸断
时间:
2008-10-12 07:58
标题:
回复 9楼 saitojie 的帖子
对,就是这样的
* j( c# g0 j0 u" c
0 _6 v! w$ S$ d' H" w3 M' g
我忘记差不多了
5 O. b8 D. b4 M+ o
( M/ \. n( m% i+ Q9 X k% X+ d7 l+ V
上次上网找倒的
欢迎光临 【3.A.S.T】网络安全爱好者 (http://www.3ast.com/)
Powered by Discuz! 7.2
