扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:论坛整理 来源:zdnet网络安全 2008年2月28日
关键字: pagefile.pif pagefile.pif病毒 pagefile.pif专杀 pagefile.pif是什么
在本页阅读全文(共2页)
C:\WINDOWS\explorer.com
另外还有几个COM的文件,其大小都一样size:33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:
1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:
attrib-r-h-s*.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc.exe=exefile
3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除
1、运行cmd.exe
cd\windows\system32\
copycmd.execmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com
2、先使用木马杀客查杀,下载地址:木马杀客.rarhttp://down.fzii.com/安全工具/木马杀客.rar
木马杀客全盘查杀完,请不要执行任何文件
3、开始->运行->输入cmd.com(或者点流览,选择到c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)
4、此时已进入DOS下,输入assoc.exe=exefile这样就解除了EXE的文件
5、打开msconfig.exe将services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。
另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。
三、
解决办法引之本区。
1、修改注册表启动项,加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后,将修改.exe关联文件(assoc .exe 看到为 winfiles,正常应该为 exefile),并同时生成几个固定的病毒文件,作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif (作用:打开D盘时运行病毒)
c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exe EXE关联使用之一
C:\WINDOWS\1.com 启动时执行,
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件,其大小都一样size: 33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:
1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:
attrib -r -h -s *.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc .exe=exefile
3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除
1、运行cmd.exe
cd\windows\system32\
copy cmd.exe cmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com
2、先使用木马杀客查杀,下载地址:木马杀客 http://www.pcav.cn/Soft/mmxg/mm/200608/430.html
木马杀客全盘查杀完,请不要执行任何文件
3、开始->运行->输入cmd.com (或者点流览,选择到 c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)
4、此时已进入DOS下,输入 assoc .exe=exefile 这样就解除了EXE的文件
5、打开msconfig.exe 将 services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。
另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者