广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 4485 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] pagefile.pif清理法
pagefile.pif清理法
作者: 362909821 发表日期: 2006-08-20 12:13 文章属性: 转载 复制链结
http://big5.ccidnet.com:89/gate/big5/362909821.blog...._showone/tid_78573.html

于pagefile.pif文件产生D盘无法正常打开的详细解决方案
最近在浏览一网站的webshell时,不慎中毒。
死机后重启,发现D盘无法正常访问,双击后没有反映,其他盘正常。右键--打开后,发现多出一个文件,前提:打开了显示所有文件(工具--文件夹选项--查看--显示所有文件和文件夹选中,然后确定),文件名为“pagefile.pif”,马上查毒,没有病毒..我用的是正版金山毒霸2006。正奇怪时发现金山网镳的任务栏图标小时了,但毒霸主程式没有结束掉。马上打开任务管理器,没有发现可疑进程,删除“pagefile.pif”文件,OK一下就删除了。再打开D盘,显示“找不到pagefile.pif,指定位置:”,马上右键打开D盘,没有找到AutoRun.inf(小常识:我们都知道平时一些游戏光碟可以自动启动,那是因为在光碟下有个"AutoRun"的文件,它是自动运行的一个基础文件。可是D盘里没有这个文件啊。马上搜索pagefile.pif,结果,搜索为系统见,才恍然大悟,马上“工具--文件夹选项--查看--去掉“隐藏受保护的作业系统文件”然后确定”,OK,多出一个Auturun文件,我们知道有系统属性的文件是无法直接删除的,我们要剔除它的系统属性,打开CMD(开始--运行--CMD.exe),输入:attrib D:\autorun.inf -s -h -r回车,然后直接删除文件。

OK基本工作已经完成,然后我想换个杀毒软体试试能不能扫到病毒,刚打开IE就发现D盘那两个文件又出来了!OK绑定了exe文件,恢复exe文件关联,在CMD下输入assoc.exe=exefile,回车。这时,恢复了文件关联。下载木马克星,晕!被杀,用瑞星线上杀毒(www.3721.com 不是 rising.com.cn...),全面扫描C,D两盘,杀掉病毒,然后删除两个D盘的文件,最后恢复下exe文件关联,在注册表里然后删除相关注册表键值:进入注册表以后,展开HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell,删除shell下的autorun键值,刷新以后,此时就应该可以打开盘符了。
可能有多个!!

OK全部检查下,保证D盘里没有文件存在,exe文件关联正确,注册表里没有启动项。

重启OK!

一个病毒就这么解决了。如果它还启动,请使用工具清除掉Trojan Program 的开机启动。就OK了!

后来经搜索整理,搜索到网上流传着下面的清除方法,本人未经测试,请各位自行斟辨。

一、 Trojan.PSW.Lmir.iux
这个坏家伙,不知道谁在我电脑上上了,把这个坏家伙给引来了,起初我还不知道,我一看怎么电脑越来越慢了呀。看了下进程,怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了,然后就删呀删,没想到这家伙关联了这么多文件,而且还关联了IE。
昨天还浪费了我点时间,诺顿查不了这个家伙晕死了,然后拉出可怕的瑞星线上杀毒,查出一共有N个文件,昨天就是不知道一共有几个文件,所以怎么清也清不干净呢。

没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。

@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...

@echo off
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\services.exe
attrib -s -r -a -h c:\windows\explorer.com
attrib -s -r -a -h c:\windows\finder.com
attrib -s -r -a -h c:\windows\exeroute.exe

attrib -s -r -a -h c:\windows\debug\debugprogram.exe

attrib -s -r -a -h c:\windows\system32\regedit.com
attrib -s -r -a -h c:\windows\system32\dxdiag.com
attrib -s -r -a -h c:\windows\system32\msconfig.com
attrib -s -r -a -h c:\windows\system32\command.pif

attrib -s -r -a -h c:\windows\system32\finder.com
attrib -s -r -a -h c:\windows\system32\rundll32.com
attrib -s -r -a -h c:\windows\system32\i.com

attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif
attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com

attrib -s -r -a -h d:\pagefile.pif
rem ===============================================
@echo Execute DELETE...

@echo off
del c:\windows\1.com
del c:\windows\services.exe
del c:\windows\explorer.com
del c:\windows\finder.com
del c:\windows\exeroute.exe

del c:\windows\debug\debugprogram.exe

del c:\windows\system32\regedit.com
del c:\windows\system32\dxdiag.com
del c:\windows\system32\msconfig.com
del c:\windows\system32\command.pif
del c:\windows\system32\finder.com
del c:\windows\system32\rundll32.com
del c:\windows\system32\i.com

del c:\progra~1\common~1\iexplore.pif
del c:\progra~1\intern~1\iexplore.com

del d:\pagefile.pif

@echo ===============================================
@echo End...
@echo ===============================================

重启之后。Exe关联出错,命令行安全模式下执行assoc .exe=exefile 再重启,搞定。

好了,不用再想着这个家伙了。呵呵。

注:这个病毒命是瑞星报的哦。别的杀软不一定一样的哦。我发现在的几点写下:
一、启动项中多出一个Shell 参数为 Explorer.exe 1 多了一个1,正常的没有1。
二、Run、Runonce键值中多出了一个Trojan Program,程式文件位于c:\windows\services.exe。
三、在D盘中写入一个Autorun.inf文件,Open的参数为pagefile.pif。这家伙很坏,一打开D盘也是启动这个坏家伙,还有在taskmgr.exe中结束不了services.exe这个进程,我是用冰刃结掉,然后删除掉的。

别的暂时也没想出什么,不知道这个家伙是盗什么的,好像是传奇世界的马吧,不太清楚。



二、这几天机子很慢,我用的是2000系统,在进行里发现老是瑞星在占用CPU,可是我根本没有杀毒,而且现在开机后瑞星不能自行启动了,而且也不能手动启动,也不能升级,好象是被控制了,我在D盘里找到一个文件,pagefile.pif的快捷方式很不寻常,是MSDOS的图标,还有那个autorun.inf就是指向这个文件的,可是我把它删除重启后还是有,在安全模式下删除也不行,开机后还是有,我在硬盘里找不到pagefile.pif源文件,真是怪了

大家看看我这个是什么问题?

解决办法引之本区。
1、修改注册表启动项,加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后,将修改.exe关联文件(assoc.exe看到为winfiles,正常应该为exefile),并同时生成几个固定的病毒文件,作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif(作用:打开D盘时运行病毒)
c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exeEXE关联使用之一
C:\WINDOWS\1.com启动时执行,
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件,其大小都一样size:33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe程式出错调试调用其他目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始功能表的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:
1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:

attrib-r-h-s*.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc.exe=exefile
3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软体辅助删除

1、运行cmd.exe
cd\windows\system32\
copycmd.execmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马杀客查杀,下载地址:木马杀客.rarhttp://down.fzii.com/安全工具/木马杀客.rar
木马杀客全盘查杀完,请不要执行任何文件

3、开始->运行->输入cmd.com(或者点流览,选择到c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到尾码,请到文件夹选项里开启,不隐藏已知关联的选项)

4、此时已进入DOS下,输入assoc.exe=exefile这样就解除了EXE的文件

5、打开msconfig.exe将services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。
另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。


三、

解决办法引之本区。
1、修改注册表启动项,加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后,将修改.exe关联文件(assoc .exe 看到为 winfiles,正常应该为 exefile),并同时生成几个固定的病毒文件,作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif (作用:打开D盘时运行病毒)
c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exe EXE关联使用之一
C:\WINDOWS\1.com 启动时执行,
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件,其大小都一样size: 33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe 程式出错调试调用其他目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始功能表的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:
1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:
attrib -r -h -s *.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc .exe=exefile
3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软体辅助删除


1、运行cmd.exe
cd\windows\system32\
copy cmd.exe cmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com


2、先使用木马杀客查杀,下载地址:木马杀客.rar http://down.f...com/安全工具/木马杀客.rar
木马杀客全盘查杀完,请不要执行任何文件


3、开始->运行->输入cmd.com (或者点流览,选择到 c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到尾码,请到文件夹选项里开启,不隐藏已知关联的选项)


4、此时已进入DOS下,输入 assoc .exe=exefile 这样就解除了EXE的文件


5、打开msconfig.exe 将 services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。

另个补充一下我的解决办法,用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 和信超媒体宽带网 | Posted:2006-11-12 17:34 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

虽然此毒 卡巴及ad-aware 都能清除掉
但是觉得不干净 做了此法后
还清除一些残留的档案
多少还是有用处


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 和信超媒体宽带网 | Posted:2006-11-12 17:36 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.033462 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言