设为首页收藏本站

 找回密码
 注册账户
网络实验室»论坛 ≡ CnLabs 资源区 ≡ 软件资源共享 手动干掉pagefile.pif病毒解决方案
返回列表 发新帖
查看: 584|回复: 0

手动干掉pagefile.pif病毒解决方案

[复制链接]
admin 发表于 2008-4-14 01:21:37 | 显示全部楼层 |阅读模式



<BR><FONT size=2>&nbsp; &nbsp; </FONT>
<P><FONT size=2>  1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。 </FONT></P>
<P><FONT size=2>  2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 </FONT></P>
<P><FONT size=2>  这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。 </FONT></P>
<P><FONT size=2>  3.开始---运行---cmd(打开命令提示符) </FONT></P>
<P><FONT size=2>  D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性 </FONT></P>
<P><FONT size=2>  最后运行del autorun.inf </FONT></P>
<P><FONT size=2>  4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下: </FONT></P>
<P><FONT size=2>  
  1. </FONT></P>
  2. <P><FONT size=2>  [autorun] </FONT></P>
  3. <P><FONT size=2>  OPEN=D:\pagefile.pif </FONT></P>
  4. <P><FONT size=2>  
复制代码
</FONT></P>
<P><FONT size=2>  将autorun.inf文件删除。 </FONT></P>
<P><FONT size=2>  5.开始---运行---regedit(打开注册表) </FONT></P>
<P><FONT size=2>  查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。 </FONT></P>
<P><FONT size=2>  一、 Trojan.PSW.Lmir.iux </FONT></P>
<P><FONT size=2>  这个坏家伙,不知道谁在我电脑上上了,把这个坏家伙给引来了,起初我还不知道,我一看怎么电脑越来越慢了呀。看了下进程,怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了,然后就删呀删,没想到这家伙关联了这么多文件,而且还关联了IE。 </FONT></P>
<P><FONT size=2>  昨天还浪费了我点时间,诺顿查不了这个家伙晕死了,然后拉出可怕的瑞星在线杀毒,查出一共有N个文件,昨天就是不知道一共有几个文件,所以怎么清也清不干净呢。 </FONT></P>
<P><FONT size=2>  没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。 </FONT></P>
<P><FONT size=2>  @echo =============================================== </FONT></P>
<P><FONT size=2>  @echo Delete Trojan.PSW.Lmir.iux By o__4pollo </FONT></P>
<P><FONT size=2>  @echo =============================================== </FONT></P>
<P><FONT size=2>  @echo Start... </FONT></P>
<P><FONT size=2>  @echo =============================================== </FONT></P>
<P><FONT size=2> @echo Execute ATTRIB... </FONT></P>
<P><FONT size=2>  @echo off </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\1.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\services.exe </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\explorer.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\finder.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\exeroute.exe </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\debug\debugprogram.exe </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\regedit.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\dxdiag.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\msconfig.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\command.pif </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\finder.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\rundll32.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\windows\system32\i.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com </FONT></P>
<P><FONT size=2>  attrib -s -r -a -h d:\pagefile.pif </FONT></P>
<P><FONT size=2>  rem =============================================== </FONT></P>
<P><FONT size=2>  @echo Execute DELETE... </FONT></P>
<P><FONT size=2>  @echo off </FONT></P>
<P><FONT size=2>  del c:\windows\1.com </FONT></P>
<P><FONT size=2>  del c:\windows\services.exe </FONT></P>
<P><FONT size=2>  del c:\windows\explorer.com </FONT></P>
<P><FONT size=2>  del c:\windows\finder.com </FONT></P>
<P><FONT size=2>  del c:\windows\exeroute.exe </FONT></P>
<P><FONT size=2>  del c:\windows\debug\debugprogram.exe </FONT></P>
<P><FONT size=2>  del c:\windows\system32\regedit.com </FONT></P>
<P><FONT size=2>  del c:\windows\system32\dxdiag.com </FONT></P>
<P><FONT size=2>  del c:\windows\system32\msconfig.com </FONT></P>
<P><FONT size=2>  del c:\windows\system32\command.pif </FONT></P>
<P><FONT size=2>  del c:\windows\system32\finder.com </FONT></P>
<P><FONT size=2>  del c:\windows\system32\rundll32.com </FONT></P>
<P><FONT size=2>  del c:\windows\system32\i.com </FONT></P>
<P><FONT size=2>  del c:\progra~1\common~1\iexplore.pif </FONT></P>
<P><FONT size=2>  del c:\progra~1\intern~1\iexplore.com </FONT></P>
<P><FONT size=2>  del d:\pagefile.pif </FONT></P>
<P><FONT size=2>  @echo =============================================== </FONT></P>
<P><FONT size=2>  @echo End... </FONT></P>
<P><FONT size=2>  @echo =============================================== </FONT></P>
<P><FONT size=2>  重启之后。Exe关联出错,命令行安全模式下执行assoc .exe=exefile 再重启,搞定。 </FONT></P>
<P><FONT size=2>  好了,不用再想着这个家伙了。呵呵。 </FONT></P>
<P><FONT size=2>  注:这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下: </FONT></P>
<P><FONT size=2>  一、启动项中多出一个Shell 参数为 Explorer.exe 1 多了一个1,正常的没有1。</FONT></P>
<P><FONT size=2>  二、Run、Runonce键值中多出了一个Trojan Program,程序文件位于c:\windows\services.exe。 </FONT></P>
<P><FONT size=2>  三、在D盘中写入一个Autorun.inf文件,Open的参数为pagefile.pif。这家伙很坏,一打开D盘也是启动这个坏家伙,还有在taskmgr.exe中结束不了services.exe这个进程,我是用冰刃结掉,然后删除掉的。 </FONT></P>
<P><FONT size=2>  别的暂时也没想出什么,不知道这个家伙是盗什么的,好像是传奇世界的马吧,不太清楚。 </FONT></P>
<P><FONT size=2>  二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是MSDOS的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是至?</FONT></P>
<P><FONT size=2>  大家看看我这个是什么问题? </FONT></P>
<P><FONT size=2>  解决办法引之本区。 </FONT></P>
<P><FONT size=2>  1、修改注册表启动项,加入(在MSCONFIG中可查到) </FONT></P>
<P><FONT size=2>  c:\windows\services.exe </FONT></P>
<P><FONT size=2>  此病毒文件被运行后,将修改.exe关联文件(assoc.exe看到为winfiles,正常应该为exefile),并同时生成几个固定的病毒文件,作为关联调用 </FONT></P>
<P><FONT size=2>  2、生成如下 </FONT></P>
<P><FONT size=2>  D:盘生成 </FONT></P>
<P><FONT size=2>  autorun.inf </FONT></P>
<P><FONT size=2>  [autorun] </FONT></P>
<P><FONT size=2>  OPEN=D:\pagefile.pif(作用:打开D盘时运行病毒) </FONT></P>
<P><FONT size=2>  c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止 </FONT></P>
<P><FONT size=2>  C:\WINDOWS\ExERoute.exeEXE关联使用之一 </FONT></P>
<P><FONT size=2>  C:\WINDOWS\1.com启动时执行, </FONT></P>
<P><FONT size=2>  C:\WINDOWS\finder.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\explorer.com </FONT></P>
<P><FONT size=2>  另外还有几个COM的文件,其大小都一样size:33,833 </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\command.pif </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\rundll32.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\finder.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\MSCONFIG.COM </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\dxdiag.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\regedit.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除: </FONT></P>
<P><FONT size=2>  1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性: </FONT></P>
<P><FONT size=2>  attrib-r-h-s*.com </FONT></P>
<P><FONT size=2>  再逐个删除每个目录都这么做 </FONT></P>
<P><FONT size=2>  2、恢复EXE文件关联 </FONT></P>
<P><FONT size=2>  assoc.exe=exefile </FONT></P>
<P><FONT size=2>  3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除 </FONT></P>
<P><FONT size=2>  1、运行cmd.exe </FONT></P>
<P><FONT size=2>  cd\windows\system32\ </FONT></P>
<P><FONT size=2>  copycmd.execmd.com </FONT></P>
<P><FONT size=2>  如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com </FONT></P>
<P><FONT size=2>  2、先使用木马杀客查杀,下载地址:木马杀客.rarhttp://down.fzii.com/安全工具/木马杀客.rar </FONT></P>
<P><FONT size=2>  木马杀客全盘查杀完,请不要执行任何文件 </FONT></P>
<P><FONT size=2>  3、开始-&gt;运行-&gt;输入cmd.com(或者点流览,选择到c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项) </FONT></P>
<P><FONT size=2>  4、此时已进入DOS下,输隺ssoc.exe=exefile这样就解除了EXE的文件 </FONT></P>
<P><FONT size=2>  5、打开msconfig.exe将services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。 </FONT></P>
<P><FONT size=2>  另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。 </FONT></P>
<P><FONT size=2>  三、 </FONT></P>
<P><FONT size=2>  解决办法引之本区。 </FONT></P>
<P><FONT size=2>  1、修改注册表启动项,加入(在MSCONFIG中可查到) </FONT></P>
<P><FONT size=2>  c:\windows\services.exe </FONT></P>
<P><FONT size=2>  此病毒文件被运行后,将修改.exe关联文件(assoc .exe 看到为 winfiles,正常应该为 exefile),并同时生成几个固定的病毒文件,作为关联调用 </FONT></P>
<P><FONT size=2>  2、生成如下 </FONT></P>
<P><FONT size=2>  D:盘生成 </FONT></P>
<P><FONT size=2>  autorun.inf </FONT></P>
<P><FONT size=2>  [autorun] </FONT></P>
<P><FONT size=2>  OPEN=D:\pagefile.pif (作用:打开D盘时运行病毒) </FONT></P>
<P><FONT size=2>  c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止 </FONT></P>
<P><FONT size=2>  C:\WINDOWS\ExERoute.exe EXE关联使用之一 </FONT></P>
<P><FONT size=2>  C:\WINDOWS\1.com 启动时执行, </FONT></P>
<P><FONT size=2>  C:\WINDOWS\finder.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\explorer.com </FONT></P>
<P><FONT size=2>  另外还有几个COM的文件,其大小都一样size: 33,833 </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\command.pif </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\rundll32.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\finder.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\MSCONFIG.COM </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\dxdiag.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\system32\regedit.com </FONT></P>
<P><FONT size=2>  C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除: </FONT></P>
<P><FONT size=2>  1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性: </FONT></P>
<P><FONT size=2>  attrib -r -h -s *.com </FONT></P>
<P><FONT size=2>  再逐个删除每个目录都这么做 </FONT></P>
<P><FONT size=2>  2、恢复EXE文件关联 </FONT></P>
<P><FONT size=2>  assoc .exe=exefile </FONT></P>
<P><FONT size=2>  3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除 </FONT></P>
<P><FONT size=2>  1、运行cmd.exe </FONT></P>
<P><FONT size=2>  cd\windows\system32\ </FONT></P>
<P><FONT size=2>  copy cmd.exe cmd.com </FONT></P>
<P><FONT size=2>  如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com </FONT></P>
<P><FONT size=2>  2、先使用木马杀客查杀,下载地址:木马杀客 </FONT><A href="http://down.ddvip.com/view/11511366573466.html"><U><FONT color=#0000ff size=2>http://down.ddvip.com/view/11511366573466.html</FONT></U></A><FONT size=2> </FONT></P>
<P><FONT size=2>  木马杀客全盘查杀完,请不要执行任何文件 </FONT></P>
<P><FONT size=2>  3、开始-&gt;运行-&gt;输入cmd.com (或者点流览,选择到 c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项) </FONT></P>
<P><FONT size=2>  4、此时已进入DOS下,输入 assoc .exe=exefile 这样就解除了EXE的文件 </FONT></P>
<P><FONT size=2>  5、打开msconfig.exe 将 services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。 </FONT></P>
<P><FONT size=2>  另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。</FONT></P> <BR>

pagefile, pif, 方案

相关帖子
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册账户

本版积分规则

存档|黑屋|手机|网络实验室 本站服务器由美国合租以及IDCLayer国际数据提供!!!

GMT+8, 2026-6-13 19:20 , Processed in 0.009560 second(s), 5 queries , Gzip On, Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表