移动硬盘文件被隐藏

但那两个移动硬盘连接到别的电脑可以看到里面的文件，很正常，不知道为什么昨天发现，两个移动硬盘里面的文件和文件全都看不到了！我插个U盘也没有问题，都没用？杀毒也没杀到有毒！ 那就是服务器可能中了什么病毒吗，放个文件到里面，一刷新，马上隐藏。格式化移动硬盘后问题一样存在，杀毒都试了，重启服务器，是administrator用户，很正常，应该是什么问题呢一台Win2003的服务器，以前都是好好的，一直都连接着两个3，可以正常看到和打开里面的文件.5寸的带电源的移动硬盘来每天做备份用途。 服务器硬盘的东西都可以看到 问题补充：不存在隐藏文件夹，全部文件夹可视情况下

当前一种通过隐藏移动磁盘文件夹，创建图标为“文件夹”且与被隐藏文件夹同名.exe文件的病毒正在校园网内广泛流行。由于此病毒主要以恶作剧为目的，没有发现其他破坏情况（也可能尚处于隐蔽期，尚未发作）广大杀毒软件不能正确识别和清除，因此难以有效遏制其传播，从而导致部分初级用户甚至因为无法解决此问题而被迫格式化磁盘。

笔者对这个病毒也颇感头疼，更重要的是，由于病毒感染计算机后使用随机目录名，笔者的手动清除经验难以形成有效的通用解决办法，从而难以传授给普通用户。对此，笔者对该病毒进行了深入研究，归纳整理了一套解决办法。

一、病毒主要工作机理

1、无毒移动磁盘插入染毒计算机后，加载在进程中的病毒首先利用遍历算法在移动磁盘各分区根目录写入两个文件，autorun.inf和Recycled.exe，前者指向后者，以便后者能自动执行。后者图标为“文件夹”使它看起来就像“回收站”，该文件尺寸为1.19MB。

2、接下来遍历移动磁盘各分区的ROOT区，隐藏所有属性为“目录”的文件（Windows称之为“文件夹”的玩意），同时创建Recycled.exe的若干个副本，其特点为：文件名与被隐藏目录相同，图标为“文件夹”，尺寸1.19MB。双击这些文件可打开被隐藏的相应目录。

3、受感染的磁盘转入正常计算机时，由于用户通常都是双击磁盘图标打开相应分区，从而激活autorun.inf并执行Recycled.exe文件，向正常计算机%windir%\system32写入一个文件名随机的隐藏目录，目录内隐藏病毒体——图标类似Visual BASIC编译产生的.exe文件，并在“C:\Documents

and Settings\\「开始」菜单\程序\启动”当中添加一个快捷方式，使之指向病毒体。此随机目录名称看起来很像一个十六进制数，即不会出现A7D8ZX之类名称，但肯定会出现A7D8EF之类文件名。

4、该病毒体没有使用当前流行木马、病毒采用的自我保护机制，很容易被手工清除，也许正是这个原因，杀毒软件不报不杀，偶尔报告的只是把autorun.inf给清除掉。从而导致其大面积传播。

二、病毒发生作用的原因

默认Windows XP用户都不会显示隐藏、系统属性的文件，且文件扩展名被隐藏。因此，隐藏的目录变得不可见。即使autorun.inf被杀毒软件清除，但由于假扮的目录存在，大部分用户仍有可能误执行病毒体，从而导致病毒清除中只要漏杀一个移动磁盘，病毒立刻卷土重来。

三、网上解决办法的失误

笔者搜索了互联网，目前找到的方法都是介绍如何清除移动磁盘上的病毒体并恢复数据，却很少提及如何防范与清除病毒本体的方法。因此，即使初级用户了解到如何上网求助，却未必能够彻底清除自己计算机上的病毒，从而不断发生清除后再次受到感染的现象，以至于部分用户不得不格式化硬盘、或者用还原磁盘镜像方式覆盖式重新安装系统。但是，前面说了，只要漏杀一个移动磁盘，很快病毒就会卷土重来。

四、解决方案

笔者提出的解决方案是“防杀结合”。“防”指防范，我们在计算机上操作移动磁盘前，必须检查计算机是否已经感染病毒；“杀”指手工清除，主要针对具备较高计算机应用能力的用户或者计算机系统管理员、各机房、多媒体教室管理员。同时，普通用户也通过本方案了解如何判断自己使用的移动磁盘已经受到感染。

首先，插入移动磁盘前，务必确认宿主计算机未感染病毒。解决办法如下：

1、查看任务管理器，进程中如果存在一个文件名看起来就像一个3字节的十六进制数的进程（名称6个字符，构成字符在0～9，ABCDEF范围内），请务必使用“结束进程树”将其结束。某些计算机当中可能不仅仅有一个这样的进程，也请一并结束。

2、如果该计算机C盘被还原卡保护，请不必管它，反正现在你插入移动磁盘是安全的了。

其次，如果未进行上述检查就已经插入移动磁盘，请这样检查你的磁盘是否已被感染。

1、默认的文件夹视图通常都是“图标”，在这个状态下，我们无法区分一个图标是“文件夹”的玩意，到底是不是一个真正的文件夹（我还是喜欢管它叫“目录”，微软搞出“文件夹”这名字特拗口）。

图1 默认的文件夹视图

2、这时候，我们需要修改默认的文件夹视图为“详细信息”（图2）。

图2 更改默认视图

3、更改文件夹视图后，我们可以清晰的区分文件和文件夹（图3）。

图3 “详细信息”视图

文件夹在“大小”列是没有数值的，而文件则会有数值，如果上述视图变成这个模样（图4），那么恭喜你，你中毒了！

图4 中毒的迹象

注意图3与图4的区别，图标、尺寸、类型已经暴露了图标是文件夹但其实是病毒体的“qemumanager40”。如果此时你设置了“显示隐藏文件”和“显示文件扩展名”，你会发现这样的现象（图5）。

图5 显示隐藏文件和文件扩展名的文件视图

毫无疑问，这个“qemumanager40.exe”就是病毒体，而真正的“qemumanager40”文件夹已经被病毒隐藏。因此，当我们使用“详细信息”视图时看到图标是“文件夹”的应用程序，其尺寸为1.19MB（或者从1196KB～1200KB左右）时，请毫不犹豫地选择并删除它。

然后，去除被隐藏文件夹的“隐藏”属性即可。

五、手工清除步骤

1、请系统管理员继续做下去，通常系统管理员的计算机应用水平都比较高，我们就简而言之吧。

首先是设置，最好能保证你提供给别人使用的公共计算机的C盘是得到保护的。当然，若是染了毒，至少重新启动前，它还是不安全的。因此，请把所有文件夹的默认视图改为“详细信息”，并且显示隐藏文件和文件扩展名。

图6 文件夹选项

设置好一个文件夹视图后，在图6把它“应用到所文件夹”并确认“高级选项”类似图6那样。

2、到%windir%\system32下，按“修改时间”对目录逆向排序，删除最近创建的，目录名看起来像十六进制数的隐藏目录。

3、在你的FTP服务器当中给用户留下一个批处理文件，名称叫什么不重要，重要的是内容。图7是笔者设计的批处理文件内容：

图7 免疫程序的内容

它的作用是利用不可删除的autorun.inf目录和recycled.exe目录来避免autorun.inf文件和recycled.exe文件被病毒创建，从而保证移动磁盘即使受到感染，也不会自动执行。当用户双击磁盘盘符打开时，不会激活autorun.inf文件并执行recycled.exe，从而保证你管理的电脑不被带毒磁盘感染，变成“病毒传播机”。

本文提到的免疫程序，校园网用户请到ftp://192.168.10.5/incoming当中下载。

4、最后，告诫你的用户，在目前病毒高发的时代，使用右键菜单的“资源管理器”打开磁盘，远比双击磁盘名称打开更为安全。

请用这个专杀 http://www.rensoft.com.cn/zhuansha/kill_sysfile.html 文件夹图标类病毒专杀工具 2.01 专杀简介 文件夹类病毒是一类恶意病毒，它会将所有根目录下和桌面上的文件夹全部隐藏，并将自己的副本命名为文件夹的名字。由于病毒的图标就是文件夹图标，如果没有显示扩展名的话很容易中招。并且由于病毒的这个原理，会在硬盘上产生大量的病毒副本，即使副本被清理掉了，恢复隐藏的文件夹也是一件不容易的事情。 本专杀就是针对此类病毒而制作的，它不仅可以清理掉全部的病毒本体和副本，以及病毒的注册表项，彻底杀死病毒；还能够100%恢复被病毒隐藏起来的文件夹，让您不再需要一一手动恢复文件夹的属性。独有的智能分析引擎，即使病毒特征码库中没有特征码，也能够分析出此类病毒的变种并完全杀除之。 查杀步骤 1、保存所有工作，然后尽量退出已经运行的程序。 2、根据需要在“扫描选项”中进行对应的设置。如果开启了病毒智能分析引擎，则会稍微延长查杀时间。 3、单击“查杀病毒”按钮进行查杀，专杀工具将自动进行查杀步骤。 4、查杀完毕，一般不需要重新启动计算机，病毒就已经被完全清理，被隐藏的文件夹也全部回来了。 5、如果您平时有需要隐藏的机密文件夹，请注意重新设置隐藏属性。

把被隐藏文件的属性“隐藏”的勾去了就行！前提你必须把被隐藏的文件显示出来