[原创文章] 对于U盘内永久隐藏文件的处理 盘内, 文件, 隐藏

saitojie

原创作者：saitojie  [3.A.S.T]
4 ]- r9 T* A6 y6 K" o. Y+ w1 u/ B! x: r- Y5 j# q
信息来源：3.A.S.T网络安全团队  （ www.3ast.cn  ）. ^( V8 D+ l' ?
. k7 B4 ?" p' g; _6 M" w  h2 x

! ?, w+ ^, t* @4 q# Y最近由于工作繁忙所以帖子发的比较少了，在工作中遇到了一个情况，我的学生U盘中毒了，而且是大面积中了这个毒，天天帮学生杀毒，杀得有点累了，不知道坛子里有没有人也在被这个病毒“迫害”，下面说说我的一些处理方法！. j) C8 ]  ]# {7 O

/ k0 \$ o7 P) ]' [. D注意：我的查杀方式仅限于计算机没中毒，但是U盘被病毒感染，如果阁下的计算机也中了该病毒，请先将计算机中的该病毒清理掉之后再去查杀U盘里的被感染的文件！
0 T. J9 p. g: Q. ~# z0 L
  g4 u, C; C. Y4 I6 _* H病毒名称：幽灵（ghost）. |  J. d. ]$ k9 X0 w7 j- W3 w
& h5 B2 ?, j' k9 `* Z
病毒现象：U盘内所有文件夹被隐藏，并且在U盘内生成与该文件夹同名的文件，文件图标与文件夹图标相同，后缀为.exe
7 x+ r7 E0 i! T: q3 }. r. K+ ~- ~& P7 r' U
如果您的U盘不小心被这个病毒感染，而您又苦于无法将感染的文件夹还原为最开始的情况，请阅读我下面的方法：
  m7 ~# c; E3 M$ d( G7 C3 j" T8 j% c  M( Z5 ?5 v! R$ ~5 H* b
1、将U盘连接到没有中毒的计算机上。2 j  t2 a& w" i
2、使用资源管理器（alt+E）打开U盘。  _/ w- d% s* u) L
3、将文件夹属性改为显示系统隐藏文件、显示所有隐藏文件、显示文件的后缀，此操作在【工具】-【文件夹选项】-【查看】中完成。# j( P! M! ^: E
4、将U盘内的autorun.inf、MS-DOS.COM两个病毒文件删除掉
7 U/ ]7 x# Z7 B* }8 ?+ U5、将U盘内所有以.exe结尾，图标为文件夹图标的文件删除掉
7 L" o4 M8 y* ~7 O以上步骤相信是大家都会的步骤，虽然说这样是将U盘病毒清理干净了，但是病毒留下的后遗症我们并没有解决。8 k7 p7 E/ N0 ]2 O/ ~. B
/ b$ N- [$ _, c( r) _' L
后遗症现象：U盘内所有文件夹处于隐藏状态，并且对文件夹属性进行编辑，发现【隐藏】选项无法取消。
4 L, D& K: F2 {/ Z/ {7 A) f9 }- I
( V: [' P5 g6 @, P对于后遗症的处理方法如下：
, T1 ^8 ?! c/ y/ K& ~
7 Z% d5 i3 J7 t. o- a方法一：
4 X# s- R8 m' l& ~% n6 V4 J8 [6 W
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）0 B$ X) W7 c6 Q7 L
2、进入命令行输入如下命令：

1. d:
   
2. attrib /s /d -h -s *

复制代码

发现文件夹属性正常。
* h  {4 Z( S( e3、将刚刚剪切到D盘的文件夹重新剪切到U盘内，后遗症就没有了！( p" n4 {6 k# T) Y' K9 k
% q6 y8 l8 c- D# d9 \0 ~8 G! i  j2 l, K  o
方法二：8 Y8 D% M& y$ s7 ?
& q# \5 e! l( C* \" a; p7 ^2 J6 X
1、将U盘内所有的隐藏文件夹剪切到计算机中的任意位置。（我这里以剪切到D盘根目录为例讲解）: l- c0 D8 V- ^
2、对剪切过来的文件夹进行属性编辑【属性】-【自定义】-【更改图标】，任意选择一个图标之后确定。3 f( g' R1 N4 d
3、再去查看文件夹属性，发现【隐藏】属性可以去掉了。
/ t; K3 B0 m4 s0 Z. H+ x0 G4、按照上面的方法对每个文件夹进行相同操作，操作完成后，再将所有文件夹剪切回U盘即可。1 ?7 f6 Y* B( D# K9 I0 {+ g' `
5 r( x5 f# B4 W& l: r2 N& Z3 Z
到此，该U盘中的幽灵病毒全部清理完成！
1 ?! q% a" f8 |! U$ f& Z( Z/ H7 x! u, {; A# [
[ 本帖最后由 3ast 于 2008-10-14 20:26 编辑 ]

wmmy

直接用软件对U盘免于啊# c6 x, a' Z1 X( Y4 [0 H8 q* \
问个问题我U盘里面这个文件autorun.inf不删除没有问题吧

柔肠寸断

这就是昨晚群聊时说的幽灵病毒啊，我来看看文章先
8 a1 x! z) N9 w* o$ ~0 _5 f6 ]" j0 s/ z, @4 K' S
主要是没有中过，有时间发个病毒样本来研究下
* B* i7 [( i. P. a
* q' I2 ^6 G; J还有就是连接没有病毒计算机的时候注意不能自动运行，而且要是安装了360的话，360会直接检测到autorun文件的) Q5 o1 h, X! D9 V/ U6 I

! g6 \! D4 ?% d! D1 k并且直接删除autorun

saitojie

那要看你的autorun.inf里面的内容咯

juchong

以前也经常碰到这样的毒，后来用了USBCleaner这款软件，就好了:) :) :)

wmmy

z这个是我U盘里面的文件那个MAYI.是我自己搞的， 汗  忘记删除的命令了2 a" Y  B) Q/ n. N0 c8 O
) u0 y5 A  ?  d$ O

柔肠寸断

对了% W8 m! p( T/ \7 E- j* w# m  E

0 r8 b% f- W/ z: A问问大家
6 b- u- b8 j) S; ~0 S9 L: k3 U+ Q7 m' i4 W+ P
这种免疫的 文件夹 是怎么建立的？？我忘记了？？

柔肠寸断

知道了，方法是这样的- M( ~# S0 F3 T8 K0 W2 T) {5 n
  ~. w0 M# \2 m8 c1 t7 B1 H

# c- \/ g7 X6 _! |- T' K有一些高级、智能一点的木马，会删除你的感染文件或者目录。为此，可以创建一个同名的特殊目录，并且在目录下创建几个带..的目录：9 E+ u; U% {2 q& t1 l2 p

! r: w8 P( @3 ]     在开始菜单运行里面输入cmd,输入下面命令（括号是注释，不要运行）" }! Z* f9 D0 ?
     假设 g盘免疫 (g对应u盘在电脑上的盘符)
8 V! f3 G/ V3 ^9 ^
& F' g' W  o- g==================
+ Y4 S7 k& C0 R  I3 q6 G  X- Q/ L2 Z
      pushd g:" @9 V8 [- \3 [8 M4 t
      md autorun.inf                 (新建autorun.inf文件夹)- Y/ {% C& H8 ?( r3 p# Q
       cd autorun.inf                  (进入autorun.inf文件夹). t# s4 L. \6 u3 X; Z
       md abc..\                      （新建免疫目录.文件夹）
1 ~% v; _: H5 [& v5 Y3 V% O       cd..                                  (回到上一级目录)# t* A( |$ d7 Q) j" P
        attrib autorun.inf +r +a +h +s (给autorun.inf文件夹加上只读存档隐藏系统属性，或者按步骤1设置权限)
. U+ ~+ ^/ z  k- h7 @5 Z/ P: `5 W6 e; d. i2 z8 d- `( ^
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

saitojie

删除的命令好像是

1. rd mayi..\

复制代码

记得有个隐藏的强制删除的命令的，不过现在忘记了，你看看在最后加上参数/F或者/X看看

柔肠寸断

对，就是这样的
2 M* k. j% |* E3 k/ \
8 T1 y: {. E: ?& Q; z我忘记差不多了8 o2 n! f) |: l. ^

/ ?2 I, F" Z* O( }$ S上次上网找倒的