科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道手杀pagefile.pif病毒

手杀pagefile.pif病毒

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效.

作者:论坛整理 来源:zdnet网络安全 2008年2月28日

关键字: pagefile.pif pagefile.pif病毒 pagefile.pif专杀 pagefile.pif是什么

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

C:\WINDOWS\explorer.com

另外还有几个COM的文件,其大小都一样size:33,833

C:\WINDOWS\system32\command.pif

C:\WINDOWS\system32\rundll32.com

C:\WINDOWS\system32\finder.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:

1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:

attrib-r-h-s*.com

再逐个删除每个目录都这么做

2、恢复EXE文件关联

assoc.exe=exefile

3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除

1、运行cmd.exe

cd\windows\system32\

copycmd.execmd.com

如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀,下载地址:木马杀客.rarhttp://down.fzii.com/安全工具/木马杀客.rar

木马杀客全盘查杀完,请不要执行任何文件

3、开始->运行->输入cmd.com(或者点流览,选择到c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)

4、此时已进入DOS下,输入assoc.exe=exefile这样就解除了EXE的文件

5、打开msconfig.exe将services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。

另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。

三、

解决办法引之本区。

1、修改注册表启动项,加入(在MSCONFIG中可查到)

c:\windows\services.exe

此病毒文件被运行后,将修改.exe关联文件(assoc .exe 看到为 winfiles,正常应该为 exefile),并同时生成几个固定的病毒文件,作为关联调用

2、生成如下

D:盘生成

autorun.inf

[autorun]

OPEN=D:\pagefile.pif (作用:打开D盘时运行病毒)

c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止

C:\WINDOWS\ExERoute.exe EXE关联使用之一

C:\WINDOWS\1.com 启动时执行,

C:\WINDOWS\finder.com

C:\WINDOWS\explorer.com

另外还有几个COM的文件,其大小都一样size: 33,833

C:\WINDOWS\system32\command.pif

C:\WINDOWS\system32\rundll32.com

C:\WINDOWS\system32\finder.com

C:\WINDOWS\system32\MSCONFIG.COM

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\regedit.com

C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:

1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:

attrib -r -h -s *.com

再逐个删除每个目录都这么做

2、恢复EXE文件关联

assoc .exe=exefile

3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除

1、运行cmd.exe

cd\windows\system32\

copy cmd.exe cmd.com

如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀,下载地址:木马杀客 http://www.pcav.cn/Soft/mmxg/mm/200608/430.html

木马杀客全盘查杀完,请不要执行任何文件

3、开始->运行->输入cmd.com (或者点流览,选择到 c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)

4、此时已进入DOS下,输入 assoc .exe=exefile 这样就解除了EXE的文件

5、打开msconfig.exe 将 services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。

另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章