引用 | 編輯
upside
2006-11-12 17:34 |
樓主
▼ |
||
x0
pagefile.pif清理法 作者: 362909821 發表日期: 2006-08-20 12:13 文章屬性: 轉載 複製鏈結 http://big5.ccidnet.com:89/gate/big5/362909821.blog.ccidnet.com/blog/ccid/do_showone/tid_78573.html 于pagefile.pif文件產生D盤無法正常打開的詳細解決方案 最近在瀏覽一網站的webshell時,不慎中毒。 死機後重啟,發現D盤無法正常訪問,雙擊後沒有反映,其他盤正常。右鍵--打開後,發現多出一個文件,前提:打開了顯示所有文件(工具--文件夾選項--查看--顯示所有文件和文件夾選中,然後確定),文件名為“pagefile.pif”,馬上查毒,沒有病毒..我用的是正版金山毒霸2006。正奇怪時發現金山網鑣的任務欄圖標小時了,但毒霸主程式沒有結束掉。馬上打開任務管理器,沒有發現可疑進程,刪除“pagefile.pif”文件,OK一下就刪除了。再打開D盤,顯示“找不到pagefile.pif,指定位置:”,馬上右鍵打開D盤,沒有找到AutoRun.inf(小常識:我們都知道平時一些遊戲光碟可以自動啟動,那是因為在光碟下有個"AutoRun"的文件,它是自動運行的一個基礎文件。可是D盤裏沒有這個文件啊。馬上搜索pagefile.pif,結果,搜索為系統見,才恍然大悟,馬上“工具--文件夾選項--查看--去掉“隱藏受保護的作業系統文件”然後確定”,OK,多出一個Auturun文件,我們知道有系統屬性的文件是無法直接刪除的,我們要剔除它的系統屬性,打開CMD(開始--運行--CMD.exe),輸入:attrib D:\autorun.inf -s -h -r回車,然後直接刪除文件。 OK基本工作已經完成,然後我想換個殺毒軟體試試能不能掃到病毒,剛打開IE就發現D盤那兩個文件又出來了!OK綁定了exe文件,恢復exe文件關聯,在CMD下輸入assoc.exe=exefile,回車。這時,恢復了文件關聯。下載木馬剋星,暈!被殺,用瑞星線上殺毒(www.3721.com 不是 www.rising.com.cn),全面掃描C,D兩盤,殺掉病毒,然後刪除兩個D盤的文件,最後恢復下exe文件關聯,在註冊表裏然後刪除相關註冊表鍵值:進入註冊表以後,展開HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell,刪除shell下的autorun鍵值,刷新以後,此時就應該可以打開盤符了。 可能有多個!! OK全部檢查下,保證D盤裏沒有文件存在,exe文件關聯正確,註冊表裏沒有啟動項。 重啟OK! 一個病毒就這麼解決了。如果它還啟動,請使用工具清除掉Trojan Program 的開機啟動。就OK了! 後來經搜索整理,搜索到網上流傳著下面的清除方法,本人未經測試,請各位自行斟辨。 一、 Trojan.PSW.Lmir.iux 這個壞傢夥,不知道誰在我電腦上上了,把這個壞傢夥給引來了,起初我還不知道,我一看怎麼電腦越來越慢了呀。看了下進程,怎麼C:\WINDOWS\services.exe有這個鳥東西呀。就知道中馬了,然後就刪呀刪,沒想到這傢夥關聯了這麼多文件,而且還關聯了IE。 昨天還浪費了我點時間,諾頓查不了這個傢夥暈死了,然後拉出可怕的瑞星線上殺毒,查出一共有N個文件,昨天就是不知道一共有幾個文件,所以怎麼清也清不乾淨呢。 沒想到這傢夥還有蠻多個的呀。 寫了個BAT把它給K了。 @echo =============================================== @echo Delete Trojan.PSW.Lmir.iux By o__4pollo @echo =============================================== @echo Start... @echo =============================================== @echo Execute ATTRIB... @echo off attrib -s -r -a -h c:\windows\1.com attrib -s -r -a -h c:\windows\services.exe attrib -s -r -a -h c:\windows\explorer.com attrib -s -r -a -h c:\windows\finder.com attrib -s -r -a -h c:\windows\exeroute.exe attrib -s -r -a -h c:\windows\debug\debugprogram.exe attrib -s -r -a -h c:\windows\system32\regedit.com attrib -s -r -a -h c:\windows\system32\dxdiag.com attrib -s -r -a -h c:\windows\system32\msconfig.com attrib -s -r -a -h c:\windows\system32\command.pif attrib -s -r -a -h c:\windows\system32\finder.com attrib -s -r -a -h c:\windows\system32\rundll32.com attrib -s -r -a -h c:\windows\system32\i.com attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com attrib -s -r -a -h d:\pagefile.pif rem =============================================== @echo Execute DELETE... @echo off del c:\windows\1.com del c:\windows\services.exe del c:\windows\explorer.com del c:\windows\finder.com del c:\windows\exeroute.exe del c:\windows\debug\debugprogram.exe del c:\windows\system32\regedit.com del c:\windows\system32\dxdiag.com del c:\windows\system32\msconfig.com del c:\windows\system32\command.pif del c:\windows\system32\finder.com del c:\windows\system32\rundll32.com del c:\windows\system32\i.com del c:\progra~1\common~1\iexplore.pif del c:\progra~1\intern~1\iexplore.com del d:\pagefile.pif @echo =============================================== @echo End... @echo =============================================== 重啟之後。Exe關聯出錯,命令行安全模式下執行assoc .exe=exefile 再重啟,搞定。 好了,不用再想著這個傢夥了。呵呵。 注:這個病毒命是瑞星報的哦。別的殺軟不一定一樣的哦。我發現在的幾點寫下: 一、啟動項中多出一個Shell 參數為 Explorer.exe 1 多了一個1,正常的沒有1。 二、Run、Runonce鍵值中多出了一個Trojan Program,程式文件位於c:\windows\services.exe。 三、在D盤中寫入一個Autorun.inf文件,Open的參數為pagefile.pif。這傢夥很壞,一打開D盤也是啟動這個壞傢夥,還有在taskmgr.exe中結束不了services.exe這個進程,我是用冰刃結掉,然後刪除掉的。 別的暫時也沒想出什麼,不知道這個傢夥是盜什麼的,好像是傳奇世界的馬吧,不太清楚。 二、這幾天機子很慢,我用的是2000系統,在進行裏發現老是瑞星在佔用CPU,可是我根本沒有殺毒,而且現在開機後瑞星不能自行啟動了,而且也不能手動啟動,也不能升級,好象是被控制了,我在D盤裏找到一個文件,pagefile.pif的快捷方式很不尋常,是MSDOS的圖標,還有那個autorun.inf就是指向這個文件的,可是我把它刪除重啟後還是有,在安全模式下刪除也不行,開機後還是有,我在硬盤裏找不到pagefile.pif源文件,真是怪了 大家看看我這個是什麼問題? 解決辦法引之本區。 1、修改註冊表啟動項,加入(在MSCONFIG中可查到) c:\windows\services.exe 此病毒文件被運行後,將修改.exe關聯文件(assoc.exe看到為winfiles,正常應該為exefile),並同時生成幾個固定的病毒文件,作為關聯調用 2、生成如下 D:盤生成 autorun.inf [autorun] OPEN=D:\pagefile.pif(作用:打開D盤時運行病毒) c:\windows目錄c:\windows\services.exe作為系統進程運行無法手工終止 C:\WINDOWS\ExERoute.exeEXE關聯使用之一 C:\WINDOWS\1.com啟動時執行, C:\WINDOWS\finder.com C:\WINDOWS\explorer.com 另外還有幾個COM的文件,其大小都一樣size:33,833 C:\WINDOWS\system32\command.pif C:\WINDOWS\system32\rundll32.com C:\WINDOWS\system32\finder.com C:\WINDOWS\system32\MSCONFIG.COM C:\WINDOWS\system32\dxdiag.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\Debug\DebugProgram.exe程式出錯調試調用其他目錄C:\ProgramFiles\InternetExplorer\iexplore.com被關聯于開始功能表的IE執行及HTM的執行C:\ProgramFiles\CommonFiles\Explorer.PIF外殼調用傳染當你打開分區時,桌面有刷新狀態,說明此文件被調用手工清除: 1、在DOS狀態下,刪除所有相關的文件,因為文件屬性都為RHS,所以要先改掉屬性: attrib-r-h-s*.com 再逐個刪除每個目錄都這麼做 2、恢復EXE文件關聯 assoc.exe=exefile 3、注意一定要刪除乾淨,只要存在一個都有可能使它執行,而重新感染如果進不了DOS的,可使用軟體輔助刪除 1、運行cmd.exe cd\windows\system32\ copycmd.execmd.com 如果進入不了cmd.exe,可以直接到文件夾裏將其改名為cmd.com 2、先使用木馬殺客查殺,下載地址:木馬殺客.rarhttp://down.fzii.com/安全工具/木馬殺客.rar 木馬殺客全盤查殺完,請不要執行任何文件 3、開始->運行->輸入cmd.com(或者點流覽,選擇到c:\windows\system32目錄,找到cmd.com,如果還未改為com,一定要先改才運行,因為此時病毒已將關聯更改,如果看不到尾碼,請到文件夾選項裏開啟,不隱藏已知關聯的選項) 4、此時已進入DOS下,輸入assoc.exe=exefile這樣就解除了EXE的文件 5、打開msconfig.exe將services的啟動去除,即可。如果還是傳染病毒,說明某些文件未清除,筆者是在DOS下手工清除的,通過查看文件大小為33833的文件將其刪除。 另個補充一下我的解決辦法,用KV2005就可以刪除上面病毒,然後手動清掉啟動的中選項。,解決病毒後,會有後遺症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盤打不開,右盤選擇打開,裏有autorun.ini可能是隱藏的,(我的電腦,--工具--文件夾--顯示所有文件,不隱藏系統文件。)看到這就刪除掉,可以解決了。 三、 解決辦法引之本區。 1、修改註冊表啟動項,加入(在MSCONFIG中可查到) c:\windows\services.exe 此病毒文件被運行後,將修改.exe關聯文件(assoc .exe 看到為 winfiles,正常應該為 exefile),並同時生成幾個固定的病毒文件,作為關聯調用 2、生成如下 D:盤生成 autorun.inf [autorun] OPEN=D:\pagefile.pif (作用:打開D盤時運行病毒) c:\windows目錄 c:\windows\services.exe 作為系統進程運行無法手工終止 C:\WINDOWS\ExERoute.exe EXE關聯使用之一 C:\WINDOWS\1.com 啟動時執行, C:\WINDOWS\finder.com C:\WINDOWS\explorer.com 另外還有幾個COM的文件,其大小都一樣size: 33,833 C:\WINDOWS\system32\command.pif C:\WINDOWS\system32\rundll32.com C:\WINDOWS\system32\finder.com C:\WINDOWS\system32\MSCONFIG.COM C:\WINDOWS\system32\dxdiag.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\Debug\DebugProgram.exe 程式出錯調試調用其他目錄 C:\Program Files\Internet Explorer\iexplore.com 被關聯于開始功能表的IE執行及HTM的執行 C:\Program Files\Common Files\Explorer.PIF 外殼調用傳染當你打開分區時,桌面有刷新狀態,說明此文件被調用手工清除: 1、在DOS狀態下,刪除所有相關的文件,因為文件屬性都為RHS,所以要先改掉屬性: attrib -r -h -s *.com 再逐個刪除每個目錄都這麼做 2、恢復EXE文件關聯 assoc .exe=exefile 3、注意一定要刪除乾淨,只要存在一個都有可能使它執行,而重新感染如果進不了DOS的,可使用軟體輔助刪除 1、運行cmd.exe cd\windows\system32\ copy cmd.exe cmd.com 如果進入不了cmd.exe,可以直接到文件夾裏將其改名為cmd.com 2、先使用木馬殺客查殺,下載地址:木馬殺客.rar http://down.fzii.com/安全工具/木馬殺客.rar 木馬殺客全盤查殺完,請不要執行任何文件 3、開始->運行->輸入cmd.com (或者點流覽,選擇到 c:\windows\system32目錄,找到cmd.com,如果還未改為com,一定要先改才運行,因為此時病毒已將關聯更改,如果看不到尾碼,請到文件夾選項裏開啟,不隱藏已知關聯的選項) 4、此時已進入DOS下,輸入 assoc .exe=exefile 這樣就解除了EXE的文件 5、打開msconfig.exe 將 services的啟動去除,即可。如果還是傳染病毒,說明某些文件未清除,筆者是在DOS下手工清除的,通過查看文件大小為33833的文件將其刪除。 另個補充一下我的解決辦法,用KV2005就可以刪除上面病毒,然後手動清掉啟動的中選項。,解決病毒後,會有後遺症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盤打不開,右盤選擇打開,裏有autorun.ini可能是隱藏的,(我的電腦,--工具--文件夾--顯示所有文件,不隱藏系統文件。)看到這就刪除掉,可以解決了。 x0
|