文件pagefile

手动干掉pagefile.pif病毒解决方案www.hacker.cn发布时间:2006-8-8 11:42:07作者:ta来源:电脑防毒之家1.找到D盘的pagefile.pif文件看它创建的日期是什么时候。删除之。 2.用系统还原功能把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效提示是"系统没被修改无法还原" 。这时候也可以用另外一种方法用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件文件大小限制在50K以内文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件包括pagefile.pif  日期和大小都差不多的删除之。 3.开始---运行---cmd打开命令提示符D:dir/a 没有参数A是看不到的 A是显示所有的意思此时你会发现D盘有一个aut o run.inf文件运行attrib auto run.inf-s -h-r去掉autorun.inf文件的系统、只读、隐藏属性最后运行de l autorun.inf4.如果上面一步觉得不理解那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹"并且取消"隐藏受保护的操作系统文件"这样你就会在D盘看到一个隐藏文件aut o run.in f这个文件的产生日期果然是我机器中毒当天12月27日 记得把只读属性取消 。打开这个文件可以看到它自动运行的内容如下

[code][autorun]OPEN=D:\pagefile.pif[/code]将autorun.inf文件删除。 5.开始---运行---regedit 打开注册表查找pagefile.pif并将其整个shell子键删除。至此病毒完美删除。一、 Trojan.P SW.Lmir.iux这个坏家伙不知道谁在我电脑上上了把这个坏家伙给引来了起初我还不知道我一看怎么电脑越来越慢了呀。看了下进程怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了然后就删呀删没想到这家伙关联了这么多文件而且还关联了IE。昨天还浪费了我点时间诺顿查不了这个家伙晕死了然后拉出可怕的瑞星在线杀毒查出一共有N个文件昨天就是不知道一共有几个文件所以怎么清也清不干净呢。没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。@echo

===============================================@echo Delete

Trojan.PSW.Lmir.iux By o__4pollo@echo

===============================================@echo Start. . .@echo

===============================================@echo Execute

ATTRIB. . .@echo o ffattrib-s -r-a-h c:\windows\1.comattrib-s -r-a-hc:\windows\services.exe attrib-s -r-a-h c:\windows\exp lorer.comattrib-s -r-a-hc:\windows\finder.comattrib-s -r-a-h c:\windows\exeroute.exeattrib-s -r-a-hc:\windows\debug\debugpro gram.exeattrib-s -r-a-hc:\windows\system32\regedit.co mattrib-s -r-a-h c:\windows\system32\dxdiag.co mattrib-s -r-a-h c:\windows\system32\msconfig.comattrib-s -r-a-hc:\windows\system32\co mmand.p ifattrib-s -r-a-hc:\windows\system32\finder.comattrib-s -r-a-h c:\windows\system32\rundll32.comattrib-s -r-a-h c:\windo ws\system32\i.c o mattrib-s -r-a-hc:\progra~1\common~1\iexplore.pifattrib-s -r-a-hc:\progra~1\intern~1\iexplore.comattrib-s -r-a-h d:\pagefile.pifrem

===============================================@echo Execute

DELETE. . .@echo offdel c:\windows\1.comdel c:\windows\services.exedelc:\windows\explorer.comdel c:\windows\finder.comdel c:\windows\exeroute.exedelc:\windows\debug\debugprogram.exedel c:\windows\system32\regedit.comdel

c:\windows\system32\command.pifdel c:\windows\system32\finder.comdelc:\windows\system32\rundll32.comdel c:\windows\system32\i.comdelc:\progra~1\common~1\iexplore.pifdel c:\progra~1\intern~1\iexplore.comdeld:\pagefile.pif@echo

===============================================@echo End. . .@echo

===============================================重启之后。 Exe关联

出错命令行安全模式下执行assoc.exe=exefile再重启搞定。好了不用再想着这个家伙了。呵呵。注这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下一、启动项中多出一个Shell参数为Explorer.exe 1多了一个

1正常的没有1 。二、 Run、 Runonce键值中多出了一个Trojan Program程序文件位于c:\windows\s ervice s.exe。三、在D盘中写入一个Autorun.inf文件 Open的参数为pagefile.pif。这家伙很坏一打开D盘也是启动这个坏家伙还有在taskmgr.exe中结束不了services.exe这个进程我是用冰刃结掉然后删除掉的。别的暂时也没想出什么不知道这个家伙是盗什么的好像是传奇世界的马吧不太清楚。二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是M S D O S的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是怪了大家看看我这个是什么问题?解决办法引之本区。 1、修改注册表启动项加入(在MSCONFIG中可查到)c:\windows\services.exe此病毒文件被运行后将修改.exe关联文件assoc.exe看到为winfiles正常应该为exefile 并同时生成几个固定的病毒文件作为关联调用2、生成如下D:盘生成autorun.inf[autorun]OPEN=D:\p agefile.p if 作用打开D盘时运行病毒 c:\windows目录c:\windows\service s.exe作为系统进程运行无法手工终止

C:\WINDOWS\ExERoute.exeEXE关联使用之一C:\WINDOWS\1.com启动时执行

C:\WINDOWS\finder.com

C:\WINDOWS\explorer.com另外还有几个COM的文件其大小都一样size:33,833 C:\WINDOWS\system32\command.pifC:\WINDOWS\system32\rundll32.comC:\WINDOWS\system32\finder.comC:\WINDOWS\system32\MSCONFIG.COMC:\WINDOWS\system32\dxdiag.comC:\WINDOWS\system32\regedit.comC:\WINDOWS\Debug\DebugPro gram.exe程序出错调试调用其它目录

C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时桌面有刷新状态说明此文件被调用手工清除 1、在DOS状态下删除所有相关的文件 因为文件属性都为RH S所以要先改掉属性 attrib-r-h-s*.c o m再逐个删除每个目录都这么做2、恢复EXE文件关联assoc.exe=exefile3、注意一定要删除干净只要存在一个都有可能使它执行而重新感染如果进不了DOS的可使用软件辅助删除1、运行cmd.execd\windows\system32\copycmd.execmd.com如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com2、先使用木马杀客查杀下载地址木马杀客.rarhttp://do wn.fz i i.c o m/安全工具/木马杀客.r ar木马杀客全盘查杀

完请不要执行任何文件3、开始->运行->输入cmd.c om(或者点流览选择到c:\windows\system32目录找到cmd.com,如果还未改为co m一定要先改才运行 因为此时病毒已将关联更改如果看不到后缀请到文件夹选项里开启不隐藏已知关联的选项)4、此时已进入DOS下输入assoc.exe=exefile这样就解除了EXE的文件5、打开msconfig.exe将services的启动去除 即可。如果还是传染病毒说明某些文件未清除笔者是在DOS下手工清除的通过查看文件大小为33833的文件将其删除。另个补充一下我的解决办法用KV2005就可以删除上面病毒然后手动清掉启动的中选项。 解决病毒后会有后遗症第一桌面的IE不能使用了重新指定IEplo er的位置就可以了第二 D盘打不开右盘选择打开里有aut o run.in i可能是隐藏的 我的电脑 工具文件夹显示所有文件不隐藏系统文件。 看到这就删除掉可以解决了。三、解决办法引之本区。 1、修改注册表启动项加入(在MSCONFIG中可查

到)c:\windows\services.exe此病毒文件被运行后将修改.exe关联文件assoc.exe看到为winfiles正常应该为exefile 并同时生成几个固定的病毒文件作为关联调用2、生成如下D:盘生成auto run.inf[aut o run]O P EN=D:\p ag e fi le.p if 作用打开D盘时运行病毒 c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止C:\WINDOWS\ExERoute.exe EXE关联使用之一C:\WINDOWS\1.com启动时执行 C:\WINDOWS\finder.comC:\WINDOWS\exp lorer.com另外还有几个COM的文件其大小都一样size:

33,833 C:\WINDOWS\system32\command.p ifC:\WINDOWS\system32\rundll32.comC:\WINDOWS\system32\finder.comC:\WINDOWS\system32\MS CONFIG.COM

C:\WINDOWS\system32\dxdiag.comC:\WINDOWS\system32\regedit.comC:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\Program Files\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\Common Files\Explorer.PIF外壳调用传染当你打开分区时桌面有刷新状态说明此文件被调用手工清除 1、在DOS状态下删除所有相关的文件 因为文件属性都为RH S所以要先改掉属性 attrib-r-h-s *.co m再逐个删除每个目录都这么做2、恢复EXE文件关联assoc.exe=exefile3、注意一定要删除干净只要存在一个都有可能使它执行而重新感染如果进不了DOS的可使用软件辅助删除

1、运行cmd.execd\windows\system32\copy cmd.exe cmd.com如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com2、先使用木马杀客查杀下载地址木马杀客http://www.p c av.cn/S o ft/mmxg/mm/200608/430.html木马杀客全盘查杀完请不要执行任何文件3、开始->运行->输入cmd.com(或者点流览选择到c:\windows\system32目录找到cmd.com,如果还未改为co m一定要先改才运行 因为此时病毒已将关联更改如果看不到后缀请到文件夹选项里开启不隐藏已知关联的选项)4、此时已进入DOS下输入assoc.exe=exefile这样就解除了EXE的文件5、打开msconfig.exe将services的启动去除 即可。如果还是传染病毒说明某些文件未清除笔者是在DOS下手工清除的通过查看文件大小为33833的文件将其删除。另个补充一下我的解决办法用KV2005就可以删除上面病毒然后手动清掉启动的中选项。 解决病毒后会有后遗症第一桌面的IE不能使用了重新指定IEplo er的位置就可以了第二 D盘打不开右盘选择

打开里有aut o run.in i可能是隐藏的 我的电脑 工具文件夹显示所有文件不隐藏系统文件。 看到这就删除掉可以解决了。