手杀pagefile.pif病毒

C:\WINDOWS\explorer.com

另外还有几个COM的文件，其大小都一样size:33,833

C:\WINDOWS\system32\command.pif

C:\WINDOWS\system32\rundll32.com

C:\WINDOWS\system32\finder.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时，桌面有刷新状态，说明此文件被调用手工清除：

1、在DOS状态下，删除所有相关的文件，因为文件属性都为RHS，所以要先改掉属性：

attrib-r-h-s*.com

再逐个删除每个目录都这么做

2、恢复EXE文件关联

assoc.exe=exefile

3、注意一定要删除干净，只要存在一个都有可能使它执行，而重新感染如果进不了DOS的，可使用软件辅助删除

1、运行cmd.exe

cd\windows\system32\

copycmd.execmd.com

如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀，下载地址：木马杀客.rarhttp://down.fzii.com/安全工具/木马杀客.rar

木马杀客全盘查杀完，请不要执行任何文件

3、开始->运行->输入cmd.com(或者点流览，选择到c:\windows\system32目录，找到cmd.com,如果还未改为com，一定要先改才运行，因为此时病毒已将关联更改，如果看不到后缀，请到文件夹选项里开启，不隐藏已知关联的选项)

4、此时已进入DOS下，输入assoc.exe=exefile这样就解除了EXE的文件

5、打开msconfig.exe将services的启动去除，即可。如果还是传染病毒，说明某些文件未清除，笔者是在DOS下手工清除的，通过查看文件大小为33833的文件将其删除。

另个补充一下我的解决办法，用KV2005就可以删除上面病毒，然后手动清掉启动的中选项。，解决病毒后，会有后遗症，第一桌面的IE不能使用了，重新指定IEploer的位置就可以了，第二，D：盘打不开，右盘选择打开，里有autorun.ini可能是隐藏的，（我的电脑，－－工具－－文件夹－－显示所有文件，不隐藏系统文件。）看到这就删除掉，可以解决了。

三、

解决办法引之本区。

1、修改注册表启动项，加入(在MSCONFIG中可查到)

c:\windows\services.exe

此病毒文件被运行后，将修改.exe关联文件（assoc .exe 看到为 winfiles，正常应该为 exefile），并同时生成几个固定的病毒文件，作为关联调用

2、生成如下

D:盘生成

autorun.inf

[autorun]

OPEN=D:\pagefile.pif （作用：打开D盘时运行病毒）

c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止

C:\WINDOWS\ExERoute.exe EXE关联使用之一

C:\WINDOWS\1.com 启动时执行，

C:\WINDOWS\finder.com

C:\WINDOWS\explorer.com

另外还有几个COM的文件，其大小都一样size: 33,833

C:\WINDOWS\system32\command.pif

C:\WINDOWS\system32\rundll32.com

C:\WINDOWS\system32\finder.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时，桌面有刷新状态，说明此文件被调用手工清除：

1、在DOS状态下，删除所有相关的文件，因为文件属性都为RHS，所以要先改掉属性：

attrib -r -h -s *.com

再逐个删除每个目录都这么做

2、恢复EXE文件关联

assoc .exe=exefile

3、注意一定要删除干净，只要存在一个都有可能使它执行，而重新感染如果进不了DOS的，可使用软件辅助删除

1、运行cmd.exe

cd\windows\system32\

copy cmd.exe cmd.com

如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀，下载地址：木马杀客 http://www.pcav.cn/Soft/mmxg/mm/200608/430.html

木马杀客全盘查杀完，请不要执行任何文件

3、开始->运行->输入cmd.com (或者点流览，选择到 c:\windows\system32目录，找到cmd.com,如果还未改为com，一定要先改才运行，因为此时病毒已将关联更改，如果看不到后缀，请到文件夹选项里开启，不隐藏已知关联的选项)

4、此时已进入DOS下，输入 assoc .exe=exefile 这样就解除了EXE的文件

5、打开msconfig.exe 将 services的启动去除，即可。如果还是传染病毒，说明某些文件未清除，笔者是在DOS下手工清除的，通过查看文件大小为33833的文件将其删除。

另个补充一下我的解决办法，用KV2005就可以删除上面病毒，然后手动清掉启动的中选项。，解决病毒后，会有后遗症，第一桌面的IE不能使用了，重新指定IEploer的位置就可以了，第二，D：盘打不开，右盘选择打开，里有autorun.ini可能是隐藏的，（我的电脑，－－工具－－文件夹－－显示所有文件，不隐藏系统文件。）看到这就删除掉，可以解决了。