[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
  [' l' e& F4 R9 P! H
& {1 v- q' M) h信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）9 ^; B5 M$ ~# U" c) `) B
1 G* l9 _+ X3 Z

: T5 ~- W, d( C' ]$ z6 y+ w$ ?1 D最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！
( j5 U. K" w  [" V
9 C8 k5 j: w3 T( r7 r注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！* k7 q; S9 H$ l( V+ _1 \

: _- t3 F# n, ?  z* B病毒名称：幽灵（ghost）3 w* \5 i6 X/ K$ q" q" w2 n1 X

3 T  u# w! {* W. N$ p" n; W病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
* ]' `1 W/ z) R* Z: c3 s6 H" _6 B0 F* P  l% d+ ?
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
' g! P( i9 L% l; i& L
" x' l& g6 F6 {1、将U盘连接到没有中毒的计算机上。
2 `! _( v9 w0 l, M- j% P, b2、使用资源管理器（alt+E）打开U盘。
0 R* C7 N( b2 j2 F# B  n5 |3 @2 p3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。
3 s& J: d5 B: B1 g6 I/ P4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉; x4 c2 o3 q* A1 X( B+ c
5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉5 L5 I# Q( v# Z
以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。8 L: r: X  S: q3 B
% h( o: ]( O! Y1 o2 R
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。4 s; }( x' ^  v7 y- K' p
8 C% ?* o2 |1 q7 I2 ~4 @
对于后遗症的处理方法如下：
0 y; b: {) x1 L: {/ e, J) p, S- R% U: s) W
方法一：' j$ T4 b) B9 k% ]( B

' n$ i9 F7 [6 r6 j3 I1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
: e5 S5 u/ y9 J- U* q6 A2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。2 y4 j/ F& B  M" J
3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！# Z7 e  B8 C! c7 Q5 d  q3 j! N' U
7 k$ k8 X0 o7 ^2 N, A
方法二：$ k& A+ a% a. G
5 o3 g! {4 ^9 W8 l& S6 A) c
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）
! V6 B. j& Z4 _6 I; Y2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。
. y0 ~0 ?5 c5 O5 Y# A* ]6 h' }3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。  m8 @  P! ]' c7 c5 M: [) h* i* U
4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。2 R) Q$ ~$ _6 E8 W8 V$ O/ D7 w
3 u) r! Z# Y$ Q
到此，该U盘中的幽灵病毒全部清理完成！
) j. v! V3 d2 q* ?9 M. k, ]  ]( D, v  G
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊! M" b8 S# S( a. q  D! u+ T
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
) A! ]& {' O. M" ?
. t9 G2 [5 s5 t6 j4 b& L9 P主要是没有中过，有时间发个病毒样本来研究下
: A, }$ _% h% H6 v/ f
% f, |+ l; M; x) O- o还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的+ o2 s* m6 V1 r$ t. h) |4 v

+ f( [& k( ?; }5 Y2 a0 F+ u4 b% i7 B并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了
' Y2 X: I; G2 n& ~& M, ~. f: ^5 s! c( R2 P& x

柔肠寸断

对了
3 }9 T/ J/ s- O$ |% g; y+ |  l2 i4 D
5 P  F" B1 d$ ]7 O* ]问问大家2 X( B: |" H) c- `( {* i! U; p

$ l( }* I/ _9 s这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的
/ N, A; {1 t, g/ \1 J! ~# H7 P  ?0 e; [3 W8 Q1 q: L( [0 p( Y

. E1 ~+ G- S' a& w; @有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：
: s! d$ X1 q2 B/ {8 N* ~. {5 X
4 k7 }3 W, X0 |3 ^" A) @# U! m     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）( t+ U* \/ v4 W0 j3 L& e! W* l( {
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
0 k/ Q+ G8 J8 p$ M& ^( S2 W& h. @6 B/ C% C/ t6 d
==================) w9 u' D! e2 ?4 O5 z6 n

$ Y6 D* {( F" r" p* |0 R6 ]      pushd g:* f& N' |! Z5 @3 l
      md autorun.inf                 (新建autorun.inf文件夹)
% {/ Z5 j. y- D/ N  u2 ?       cd autorun.inf                  (进入autorun.inf文件夹)$ D" o( d  _0 [' E, i7 @# }$ C
       md abc..\                      （新建免疫目录.文件夹）/ x; F5 w$ Q* t1 K! v0 e
       cd..                                  (回到上一级目录)
2 H$ \6 e; L9 p. F  f  b        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
. M" G, _' N' _- E  [1 b1 @
3 A5 Q2 C0 ?- j, ?5 t* ?+ C, c9 O＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的" k1 E% m# F8 O2 I0 z

# t( g" ~3 f$ p  r我忘记差不多了
2 W! x% I# j" |8 f0 h: A
: x, P! L3 U  B上次上网找倒的