神马品牌网dnf剑帝物理还是魔法:pagefile.pif病毒解决方案(要简简单一点的)
来源:百度文库 编辑:神马品牌网 时间:2024/04/28 21:38:22
日志里显示包删除了AutoRun.inf Trojan/INF.e 两分钟之内连续删了四个!
疑似文件有pagefile.pif.vir 一般可疑(硬盘寄生虫)和WINLOGON.EXE.vir 高度可疑
D盘里还有一个autorun.inf 安装信息 1KB 以及pagefile 指向MS-DOS 程序的快捷方式 46KB
删了重启又有!以下是最新官方版本HijackThis 1.99.1的logfile:
哈哈,是落雪病毒啊。
到这里下载专杀吧。
http://www.mmsk.cn/Down.html
D盘右键第一项是自动播放,双击不能打开.
是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个文件里动手脚,先杀病毒。其他盘正常吗?
确定无毒后打开我的电脑-工具-文件夹选项-文件类型, 找到“驱动器”,
点下方的“高级”-点选“编辑文件类型”里的“新建”-操作里填写“open”(这个可随意填写)-用于执行操作的应用程序里填写explorer.exe-确定
应该能解决问题!
还有个方法:鼠标双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,然后进入d盘,把autorun.inf删除,重启即可。
如果找不到autorun.inf,那么
1、开始-->运行-->cmd(打开命令提示符)
2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del autorun.inf
重启即可。
注意:要保证无病毒了才有用,要不还会生成这个文件
还有终极杀此度法,不错的
本人以前曾中过此木马,供参考:
(转摘)关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马
一老马,应该说半新不旧,现在感染它的人没刚出来的时候那么多,但还是一直有人会遇到。
这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、 winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。
产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]
创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、 iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。
这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。
处理时一般可以这样操作:
可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。
以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息:
已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的“command.pif”改为“rundll32.exe”
查找:explorer.com,把找到的“explorer.com”改为“explorer.exe”
查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\ Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe”
查找:finder.com,把找到的“finder.com”改为“rundll32.exe”
查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe”
这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默认)的“类型”应该是REG_EXPAND_SZ
最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。
附:D盘的“自动播放”
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。
右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。