扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年2月28日
关键字: pagefile.pif pagefile.pif病毒 pagefile.pif专杀 pagefile.pif是什么
在本页阅读全文(共2页)
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。
3.开始---运行---cmd(打开命令提示符)
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
最后运行del autorun.inf
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:
[code]
[autorun]
OPEN=D:\pagefile.pif
[/code]
将autorun.inf文件删除。
5.开始---运行---regedit(打开注册表)
查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。
一、 Trojan.PSW.Lmir.iux
这个坏家伙,不知道谁在我电脑上上了,把这个坏家伙给引来了,起初我还不知道,我一看怎么电脑越来越慢了呀。看了下进程,怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了,然后就删呀删,没想到这家伙关联了这么多文件,而且还关联了IE。
昨天还浪费了我点时间,诺顿查不了这个家伙晕死了,然后拉出可怕的瑞星在线杀毒,查出一共有N个文件,昨天就是不知道一共有几个文件,所以怎么清也清不干净呢。
没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
@echo off
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\services.exe
attrib -s -r -a -h c:\windows\explorer.com
attrib -s -r -a -h c:\windows\finder.com
attrib -s -r -a -h c:\windows\exeroute.exe
attrib -s -r -a -h c:\windows\debug\debugprogram.exe
attrib -s -r -a -h c:\windows\system32\regedit.com
attrib -s -r -a -h c:\windows\system32\dxdiag.com
attrib -s -r -a -h c:\windows\system32\msconfig.com
attrib -s -r -a -h c:\windows\system32\command.pif
attrib -s -r -a -h c:\windows\system32\finder.com
attrib -s -r -a -h c:\windows\system32\rundll32.com
attrib -s -r -a -h c:\windows\system32\i.com
attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif
attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com
attrib -s -r -a -h d:\pagefile.pif
rem ===============================================
@echo Execute DELETE...
@echo off
del c:\windows\1.com
del c:\windows\services.exe
del c:\windows\explorer.com
del c:\windows\finder.com
del c:\windows\exeroute.exe
del c:\windows\debug\debugprogram.exe
del c:\windows\system32\regedit.com
del c:\windows\system32\dxdiag.com
del c:\windows\system32\msconfig.com
del c:\windows\system32\command.pif
del c:\windows\system32\finder.com
del c:\windows\system32\rundll32.com
del c:\windows\system32\i.com
del c:\progra~1\common~1\iexplore.pif
del c:\progra~1\intern~1\iexplore.com
del d:\pagefile.pif
@echo ===============================================
@echo End...
@echo ===============================================
重启之后。Exe关联出错,命令行安全模式下执行assoc .exe=exefile 再重启,搞定。
好了,不用再想着这个家伙了。呵呵。
注:这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下:
一、启动项中多出一个Shell 参数为 Explorer.exe 1 多了一个1,正常的没有1。
二、Run、Runonce键值中多出了一个Trojan Program,程序文件位于c:\windows\services.exe。
三、在D盘中写入一个Autorun.inf文件,Open的参数为pagefile.pif。这家伙很坏,一打开D盘也是启动这个坏家伙,还有在taskmgr.exe中结束不了services.exe这个进程,我是用冰刃结掉,然后删除掉的。
别的暂时也没想出什么,不知道这个家伙是盗什么的,好像是传奇世界的马吧,不太清楚。
二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是MSDOS的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是怪了
大家看看我这个是什么问题?
解决办法引之本区。
1、修改注册表启动项,加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后,将修改.exe关联文件(assoc.exe看到为winfiles,正常应该为exefile),并同时生成几个固定的病毒文件,作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif(作用:打开D盘时运行病毒)
c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exeEXE关联使用之一
C:\WINDOWS\1.com启动时执行,
C:\WINDOWS\finder.com
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者