科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道手杀pagefile.pif病毒

手杀pagefile.pif病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效.

作者:论坛整理 来源:zdnet网络安全 2008年2月28日

关键字: pagefile.pif pagefile.pif病毒 pagefile.pif专杀 pagefile.pif是什么

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。

2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。

这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。

3.开始---运行---cmd(打开命令提示符)

D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性

最后运行del autorun.inf

4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:

[code]

[autorun]

OPEN=D:\pagefile.pif

[/code]

将autorun.inf文件删除。

5.开始---运行---regedit(打开注册表)

查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。

一、 Trojan.PSW.Lmir.iux

这个坏家伙,不知道谁在我电脑上上了,把这个坏家伙给引来了,起初我还不知道,我一看怎么电脑越来越慢了呀。看了下进程,怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了,然后就删呀删,没想到这家伙关联了这么多文件,而且还关联了IE。

昨天还浪费了我点时间,诺顿查不了这个家伙晕死了,然后拉出可怕的瑞星在线杀毒,查出一共有N个文件,昨天就是不知道一共有几个文件,所以怎么清也清不干净呢。

没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。

@echo ===============================================

@echo Delete Trojan.PSW.Lmir.iux By o__4pollo

@echo ===============================================

@echo Start...

@echo ===============================================

@echo Execute ATTRIB...

@echo off

attrib -s -r -a -h c:\windows\1.com

attrib -s -r -a -h c:\windows\services.exe

attrib -s -r -a -h c:\windows\explorer.com

attrib -s -r -a -h c:\windows\finder.com

attrib -s -r -a -h c:\windows\exeroute.exe

attrib -s -r -a -h c:\windows\debug\debugprogram.exe

attrib -s -r -a -h c:\windows\system32\regedit.com

attrib -s -r -a -h c:\windows\system32\dxdiag.com

attrib -s -r -a -h c:\windows\system32\msconfig.com

attrib -s -r -a -h c:\windows\system32\command.pif

attrib -s -r -a -h c:\windows\system32\finder.com

attrib -s -r -a -h c:\windows\system32\rundll32.com

attrib -s -r -a -h c:\windows\system32\i.com

attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif

attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com

attrib -s -r -a -h d:\pagefile.pif

rem ===============================================

@echo Execute DELETE...

@echo off

del c:\windows\1.com

del c:\windows\services.exe

del c:\windows\explorer.com

del c:\windows\finder.com

del c:\windows\exeroute.exe

del c:\windows\debug\debugprogram.exe

del c:\windows\system32\regedit.com

del c:\windows\system32\dxdiag.com

del c:\windows\system32\msconfig.com

del c:\windows\system32\command.pif

del c:\windows\system32\finder.com

del c:\windows\system32\rundll32.com

del c:\windows\system32\i.com

del c:\progra~1\common~1\iexplore.pif

del c:\progra~1\intern~1\iexplore.com

del d:\pagefile.pif

@echo ===============================================

@echo End...

@echo ===============================================

重启之后。Exe关联出错,命令行安全模式下执行assoc .exe=exefile 再重启,搞定。

好了,不用再想着这个家伙了。呵呵。

注:这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下:

一、启动项中多出一个Shell 参数为 Explorer.exe 1 多了一个1,正常的没有1。

二、Run、Runonce键值中多出了一个Trojan Program,程序文件位于c:\windows\services.exe。

三、在D盘中写入一个Autorun.inf文件,Open的参数为pagefile.pif。这家伙很坏,一打开D盘也是启动这个坏家伙,还有在taskmgr.exe中结束不了services.exe这个进程,我是用冰刃结掉,然后删除掉的。

别的暂时也没想出什么,不知道这个家伙是盗什么的,好像是传奇世界的马吧,不太清楚。

二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是MSDOS的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是怪了

大家看看我这个是什么问题?

解决办法引之本区。

1、修改注册表启动项,加入(在MSCONFIG中可查到)

c:\windows\services.exe

此病毒文件被运行后,将修改.exe关联文件(assoc.exe看到为winfiles,正常应该为exefile),并同时生成几个固定的病毒文件,作为关联调用

2、生成如下

D:盘生成

autorun.inf

[autorun]

OPEN=D:\pagefile.pif(作用:打开D盘时运行病毒)

c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止

C:\WINDOWS\ExERoute.exeEXE关联使用之一

C:\WINDOWS\1.com启动时执行,

C:\WINDOWS\finder.com

    • 评论
    • 分享微博
    • 分享邮件
          邮件订阅

          如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

          重磅专题
          往期文章
          最新文章