手杀pagefile.pif病毒

1.找到D盘的pagefile.pif文件，看它创建的日期是什么时候。删除之。

2.用系统还原功能，把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效（提示是“系统没被修改，无法还原”）。

这时候也可以用另外一种方法：用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件，文件大小限制在50K以内，文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件（包括pagefile.pif），日期和大小都差不多的，删除之。

3.开始---运行---cmd（打开命令提示符）

D: dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现D盘有一个autorun.inf文件，运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性

最后运行del autorun.inf

4.如果上面一步觉得不理解，那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹"，并且取消“隐藏受保护的操作系统文件”，这样你就会在D盘看到一个隐藏文件autorun.inf，这个文件的产生日期果然是我机器中毒当天12月27日（记得把只读属性取消）。打开这个文件，可以看到它自动运行的内容，如下：

[code]

[autorun]

OPEN=D:\pagefile.pif

[/code]

将autorun.inf文件删除。

5.开始---运行---regedit（打开注册表）

查找pagefile.pif，并将其整个shell子键删除。至此，病毒完美删除。

一、 Trojan.PSW.Lmir.iux

这个坏家伙，不知道谁在我电脑上上了，把这个坏家伙给引来了，起初我还不知道，我一看怎么电脑越来越慢了呀。看了下进程，怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了，然后就删呀删，没想到这家伙关联了这么多文件，而且还关联了IE。

昨天还浪费了我点时间，诺顿查不了这个家伙晕死了，然后拉出可怕的瑞星在线杀毒，查出一共有N个文件，昨天就是不知道一共有几个文件，所以怎么清也清不干净呢。

没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。

@echo ===============================================

@echo Delete Trojan.PSW.Lmir.iux By o__4pollo

@echo ===============================================

@echo Start...

@echo ===============================================

@echo Execute ATTRIB...

@echo off

attrib -s -r -a -h c:\windows\1.com

attrib -s -r -a -h c:\windows\services.exe

attrib -s -r -a -h c:\windows\explorer.com

attrib -s -r -a -h c:\windows\finder.com

attrib -s -r -a -h c:\windows\exeroute.exe

attrib -s -r -a -h c:\windows\debug\debugprogram.exe

attrib -s -r -a -h c:\windows\system32\regedit.com

attrib -s -r -a -h c:\windows\system32\dxdiag.com

attrib -s -r -a -h c:\windows\system32\msconfig.com

attrib -s -r -a -h c:\windows\system32\command.pif

attrib -s -r -a -h c:\windows\system32\finder.com

attrib -s -r -a -h c:\windows\system32\rundll32.com

attrib -s -r -a -h c:\windows\system32\i.com

attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif

attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com

attrib -s -r -a -h d:\pagefile.pif

rem ===============================================

@echo Execute DELETE...

@echo off

del c:\windows\1.com

del c:\windows\services.exe

del c:\windows\explorer.com

del c:\windows\finder.com

del c:\windows\exeroute.exe

del c:\windows\debug\debugprogram.exe

del c:\windows\system32\regedit.com

del c:\windows\system32\dxdiag.com

del c:\windows\system32\msconfig.com

del c:\windows\system32\command.pif

del c:\windows\system32\finder.com

del c:\windows\system32\rundll32.com

del c:\windows\system32\i.com

del c:\progra~1\common~1\iexplore.pif

del c:\progra~1\intern~1\iexplore.com

del d:\pagefile.pif

@echo ===============================================

@echo End...

@echo ===============================================

重启之后。Exe关联出错，命令行安全模式下执行assoc .exe=exefile 再重启，搞定。

好了，不用再想着这个家伙了。呵呵。

注：这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下：

一、启动项中多出一个Shell 参数为 Explorer.exe 1 多了一个1，正常的没有1。

二、Run、Runonce键值中多出了一个Trojan Program，程序文件位于c:\windows\services.exe。

三、在D盘中写入一个Autorun.inf文件，Open的参数为pagefile.pif。这家伙很坏，一打开D盘也是启动这个坏家伙，还有在taskmgr.exe中结束不了services.exe这个进程，我是用冰刃结掉，然后删除掉的。

别的暂时也没想出什么，不知道这个家伙是盗什么的，好像是传奇世界的马吧，不太清楚。

二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是MSDOS的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是怪了

大家看看我这个是什么问题?

解决办法引之本区。

1、修改注册表启动项，加入(在MSCONFIG中可查到)

c:\windows\services.exe

此病毒文件被运行后，将修改.exe关联文件（assoc.exe看到为winfiles，正常应该为exefile），并同时生成几个固定的病毒文件，作为关联调用

2、生成如下

D:盘生成

autorun.inf

[autorun]

OPEN=D:\pagefile.pif（作用：打开D盘时运行病毒）

c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止

C:\WINDOWS\ExERoute.exeEXE关联使用之一

C:\WINDOWS\1.com启动时执行，

C:\WINDOWS\finder.com