1.找到D盤(pán)的pagefile.pif文件,看它創(chuàng)建的日期是什么時(shí)候。刪除之。
2.用系統(tǒng)還原功能,把系統(tǒng)還原到病毒產(chǎn)生之前的日期。這樣系統(tǒng)進(jìn)程里就暫時(shí)不會(huì)有病毒及其相關(guān)聯(lián)的進(jìn)程。不過(guò)似乎有的人在這時(shí)候即使做系統(tǒng)還原也無(wú)效(提示是“系統(tǒng)沒(méi)被修改,無(wú)法還原”)。
這時(shí)候也可以用另外一種方法:用Windows的搜索功能分別在C盤(pán)和D盤(pán)查找病毒產(chǎn)生的當(dāng)天文件,文件大小限制在50K以內(nèi),文件名不限。這樣大概總共能找到4個(gè)左右病毒的MS-DOS相關(guān)文件(包括pagefile.pif),日期和大小都差不多的,刪除之。
3.開(kāi)始---運(yùn)行---cmd(打開(kāi)命令提示符)
D: dir /a (沒(méi)有參數(shù)A是看不到的,A是顯示所有的意思) 此時(shí)你會(huì)發(fā)現(xiàn)D盤(pán)有一個(gè)autorun.inf文件,運(yùn)行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統(tǒng)、只讀、隱藏屬性
最后運(yùn)行del autorun.inf
4.如果上面一步覺(jué)得不理解,那么在"工具-文件夾選項(xiàng)-查看"中選中"顯示所有文件及文件夾",并且取消“隱藏受保護(hù)的操作系統(tǒng)文件”,這樣你就會(huì)在D盤(pán)看到一個(gè)隱藏文件autorun.inf,這個(gè)文件的產(chǎn)生日期果然是我機(jī)器中毒當(dāng)天12月27日(記得把只讀屬性取消)。打開(kāi)這個(gè)文件,可以看到它自動(dòng)運(yùn)行的內(nèi)容,如下:
[code]
[autorun]
OPEN=D:pagefile.pif
[/code]
將autorun.inf文件刪除。
5.開(kāi)始---運(yùn)行---regedit(打開(kāi)注冊(cè)表)
查找pagefile.pif,并將其整個(gè)shell子鍵刪除。至此,病毒完美刪除。
一、 Trojan.PSW.Lmir.iux
這個(gè)壞家伙,不知道誰(shuí)在我電腦上上了,把這個(gè)壞家伙給引來(lái)了,起初我還不知道,我一看怎么電腦越來(lái)越慢了呀。看了下進(jìn)程,怎么C:WINDOWSservices.exe有這個(gè)鳥(niǎo)東西呀。就知道中馬了,然后就刪呀刪,沒(méi)想到這家伙關(guān)聯(lián)了這么多文件,而且還關(guān)聯(lián)了IE。
昨天還浪費(fèi)了我點(diǎn)時(shí)間,諾頓查不了這個(gè)家伙暈死了,然后拉出可怕的瑞星在線殺毒,查出一共有N個(gè)文件,昨天就是不知道一共有幾個(gè)文件,所以怎么清也清不干凈呢。
沒(méi)想到這家伙還有蠻多個(gè)的呀。 寫(xiě)了個(gè)BAT把它給K了。
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
@echo off
attrib -s -r -a -h c:windows1.com
attrib -s -r -a -h c:windowsservices.exe
attrib -s -r -a -h c:windowsexplorer.com
attrib -s -r -a -h c:windowsfinder.com
attrib -s -r -a -h c:windowsexeroute.exe
attrib -s -r -a -h c:windowsdebugdebugprogram.exe
attrib -s -r -a -h c:windowssystem32 egedit.com
attrib -s -r -a -h c:windowssystem32dxdiag.com
attrib -s -r -a -h c:windowssystem32msconfig.com
attrib -s -r -a -h c:windowssystem32command.pif
attrib -s -r -a -h c:windowssystem32finder.com
attrib -s -r -a -h c:windowssystem32 undll32.com
attrib -s -r -a -h c:windowssystem32i.com
attrib -s -r -a -h c:progra~1common~1iexplore.pif
attrib -s -r -a -h c:progra~1intern~1iexplore.com
attrib -s -r -a -h d:pagefile.pif
rem ===============================================
@echo Execute DELETE...
@echo off
del c:windows1.com
del c:windowsservices.exe
del c:windowsexplorer.com
del c:windowsfinder.com
del c:windowsexeroute.exe
del c:windowsdebugdebugprogram.exe
del c:windowssystem32 egedit.com
del c:windowssystem32dxdiag.com
del c:windowssystem32msconfig.com
del c:windowssystem32command.pif
del c:windowssystem32finder.com
del c:windowssystem32 undll32.com
del c:windowssystem32i.com
del c:progra~1common~1iexplore.pif
del c:progra~1intern~1iexplore.com
del d:pagefile.pif
@echo ===============================================
@echo End...
@echo ===============================================
重啟之后。Exe關(guān)聯(lián)出錯(cuò),命令行安全模式下執(zhí)行assoc .exe=exefile 再重啟,搞定。
好了,不用再想著這個(gè)家伙了。呵呵。
注:這個(gè)病毒命是瑞星報(bào)的哦。別的殺軟不一定一樣的哦。我發(fā)現(xiàn)在的幾點(diǎn)寫(xiě)下:
一、啟動(dòng)項(xiàng)中多出一個(gè)Shell 參數(shù)為 Explorer.exe 1 多了一個(gè)1,正常的沒(méi)有1。
二、Run、Runonce鍵值中多出了一個(gè)Trojan Program,程序文件位于c:windowsservices.exe。
三、在D盤(pán)中寫(xiě)入一個(gè)Autorun.inf文件,Open的參數(shù)為pagefile.pif。這家伙很壞,一打開(kāi)D盤(pán)也是啟動(dòng)這個(gè)壞家伙,還有在taskmgr.exe中結(jié)束不了services.exe這個(gè)進(jìn)程,我是用冰刃結(jié)掉,然后刪除掉的。
別的暫時(shí)也沒(méi)想出什么,不知道這個(gè)家伙是盜什么的,好像是傳奇世界的馬吧,不太清楚。
二、這幾天機(jī)子很慢,我用的是2000系統(tǒng),在進(jìn)行里發(fā)現(xiàn)老是瑞星在占用CPU,可是我根本沒(méi)有殺毒,而且現(xiàn)在開(kāi)機(jī)后瑞星不能自行啟動(dòng)了,而且也不能手動(dòng)啟動(dòng),也不能升級(jí),好象是被控制了,我在D盤(pán)里找到一個(gè)文件,pagefile.pif的快捷方式很不尋常,是MSDOS的圖標(biāo),還有那個(gè)autorun.inf就是指向這個(gè)文件的,可是我把它刪除重啟后還是有,在安全模式下刪除也不行,開(kāi)機(jī)后還是有,我在硬盤(pán)里找不到pagefile.pif源文件,真是怪了
大家看看我這個(gè)是什么問(wèn)題?
解決辦法引之本區(qū)。
1、修改注冊(cè)表啟動(dòng)項(xiàng),加入(在MSCONFIG中可查到)
c:windowsservices.exe
此病毒文件被運(yùn)行后,將修改.exe關(guān)聯(lián)文件(assoc.exe看到為winfiles,正常應(yīng)該為exefile),并同時(shí)生成幾個(gè)固定的病毒文件,作為關(guān)聯(lián)調(diào)用
2、生成如下
D:盤(pán)生成
autorun.inf
[autorun]
OPEN=D:pagefile.pif(作用:打開(kāi)D盤(pán)時(shí)運(yùn)行病毒)
c:windows目錄c:windowsservices.exe作為系統(tǒng)進(jìn)程運(yùn)行無(wú)法手工終止
C:WINDOWSExERoute.exeEXE關(guān)聯(lián)使用之一
C:WINDOWS1.com啟動(dòng)時(shí)執(zhí)行,
C:WINDOWSfinder.com
C:WINDOWSexplorer.com
另外還有幾個(gè)COM的文件,其大小都一樣size:33,833
C:WINDOWSsystem32command.pif
C:WINDOWSsystem32 undll32.com
C:WINDOWSsystem32finder.com
C:WINDOWSsystem32MSCONFIG.COM
C:WINDOWSsystem32dxdiag.com
C:WINDOWSsystem32 egedit.com
C:WINDOWSDebugDebugProgram.exe程序出錯(cuò)調(diào)試調(diào)用其它目錄C:ProgramFilesInternetExploreriexplore.com被關(guān)聯(lián)于開(kāi)始菜單的IE執(zhí)行及HTM的執(zhí)行C:ProgramFilesCommonFilesExplorer.PIF外殼調(diào)用傳染當(dāng)你打開(kāi)分區(qū)時(shí),桌面有刷新?tīng)顟B(tài),說(shuō)明此文件被調(diào)用手工清除:
1、在DOS狀態(tài)下,刪除所有相關(guān)的文件,因?yàn)槲募傩远紴镽HS,所以要先改掉屬性:
attrib-r-h-s*.com
再逐個(gè)刪除每個(gè)目錄都這么做
2、恢復(fù)EXE文件關(guān)聯(lián)
assoc.exe=exefile
3、注意一定要?jiǎng)h除干凈,只要存在一個(gè)都有可能使它執(zhí)行,而重新感染如果進(jìn)不了DOS的,可使用軟件輔助刪除
1、運(yùn)行cmd.exe
cdwindowssystem32
copycmd.execmd.com
如果進(jìn)入不了cmd.exe,可以直接到文件夾里將其改名為cmd.com
2、先使用木馬殺客查殺,下載地址:木馬殺客.rarhttp://down.fzii.com/安全工具/木馬殺客.rar
木馬殺客全盤(pán)查殺完,請(qǐng)不要執(zhí)行任何文件
3、開(kāi)始->運(yùn)行->輸入cmd.com(或者點(diǎn)流覽,選擇到c:windowssystem32目錄,找到cmd.com,如果還未改為com,一定要先改才運(yùn)行,因?yàn)榇藭r(shí)病毒已將關(guān)聯(lián)更改,如果看不到后綴,請(qǐng)到文件夾選項(xiàng)里開(kāi)啟,不隱藏已知關(guān)聯(lián)的選項(xiàng))
4、此時(shí)已進(jìn)入DOS下,輸入assoc.exe=exefile這樣就解除了EXE的文件
5、打開(kāi)msconfig.exe將services的啟動(dòng)去除,即可。如果還是傳染病毒,說(shuō)明某些文件未清除,筆者是在DOS下手工清除的,通過(guò)查看文件大小為33833的文件將其刪除。
另個(gè)補(bǔ)充一下我的解決辦法,用KV2005就可以刪除上面病毒,然后手動(dòng)清掉啟動(dòng)的中選項(xiàng)。,解決病毒后,會(huì)有后遺癥,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盤(pán)打不開(kāi),右盤(pán)選擇打開(kāi),里有autorun.ini可能是隱藏的,(我的電腦,--工具--文件夾--顯示所有文件,不隱藏系統(tǒng)文件。)看到這就刪除掉,可以解決了。
三、
解決辦法引之本區(qū)。
1、修改注冊(cè)表啟動(dòng)項(xiàng),加入(在MSCONFIG中可查到)
c:windowsservices.exe
此病毒文件被運(yùn)行后,將修改.exe關(guān)聯(lián)文件(assoc .exe 看到為 winfiles,正常應(yīng)該為 exefile),并同時(shí)生成幾個(gè)固定的病毒文件,作為關(guān)聯(lián)調(diào)用
2、生成如下
D:盤(pán)生成
autorun.inf
[autorun]
OPEN=D:pagefile.pif (作用:打開(kāi)D盤(pán)時(shí)運(yùn)行病毒)
c:windows目錄 c:windowsservices.exe 作為系統(tǒng)進(jìn)程運(yùn)行無(wú)法手工終止
C:WINDOWSExERoute.exe EXE關(guān)聯(lián)使用之一
C:WINDOWS1.com 啟動(dòng)時(shí)執(zhí)行,
C:WINDOWSfinder.com
C:WINDOWSexplorer.com
另外還有幾個(gè)COM的文件,其大小都一樣size: 33,833
C:WINDOWSsystem32command.pif
C:WINDOWSsystem32 undll32.com
C:WINDOWSsystem32finder.com
C:WINDOWSsystem32MSCONFIG.COM
C:WINDOWSsystem32dxdiag.com
C:WINDOWSsystem32 egedit.com
C:WINDOWSDebugDebugProgram.exe 程序出錯(cuò)調(diào)試調(diào)用其它目錄 C:Program FilesInternet Exploreriexplore.com 被關(guān)聯(lián)于開(kāi)始菜單的IE執(zhí)行及HTM的執(zhí)行 C:Program FilesCommon FilesExplorer.PIF 外殼調(diào)用傳染當(dāng)你打開(kāi)分區(qū)時(shí),桌面有刷新?tīng)顟B(tài),說(shuō)明此文件被調(diào)用手工清除:
1、在DOS狀態(tài)下,刪除所有相關(guān)的文件,因?yàn)槲募傩远紴镽HS,所以要先改掉屬性:
attrib -r -h -s *.com
再逐個(gè)刪除每個(gè)目錄都這么做
2、恢復(fù)EXE文件關(guān)聯(lián)
assoc .exe=exefile
3、注意一定要?jiǎng)h除干凈,只要存在一個(gè)都有可能使它執(zhí)行,而重新感染如果進(jìn)不了DOS的,可使用軟件輔助刪除
1、運(yùn)行cmd.exe
cdwindowssystem32
copy cmd.exe cmd.com
如果進(jìn)入不了cmd.exe,可以直接到文件夾里將其改名為cmd.com
2、先使用木馬殺客查殺,下載地址:木馬殺客 http://www.pcav.cn/Soft/mmxg/mm/200608/430.html
木馬殺客全盤(pán)查殺完,請(qǐng)不要執(zhí)行任何文件
3、開(kāi)始->運(yùn)行->輸入cmd.com (或者點(diǎn)流覽,選擇到 c:windowssystem32目錄,找到cmd.com,如果還未改為com,一定要先改才運(yùn)行,因?yàn)榇藭r(shí)病毒已將關(guān)聯(lián)更改,如果看不到后綴,請(qǐng)到文件夾選項(xiàng)里開(kāi)啟,不隱藏已知關(guān)聯(lián)的選項(xiàng))
4、此時(shí)已進(jìn)入DOS下,輸入 assoc .exe=exefile 這樣就解除了EXE的文件
5、打開(kāi)msconfig.exe 將 services的啟動(dòng)去除,即可。如果還是傳染病毒,說(shuō)明某些文件未清除,筆者是在DOS下手工清除的,通過(guò)查看文件大小為33833的文件將其刪除。
另個(gè)補(bǔ)充一下我的解決辦法,用KV2005就可以刪除上面病毒,然后手動(dòng)清掉啟動(dòng)的中選項(xiàng)。,解決病毒后,會(huì)有后遺癥,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盤(pán)打不開(kāi),右盤(pán)選擇打開(kāi),里有autorun.ini可能是隱藏的,(我的電腦,--工具--文件夾--顯示所有文件,不隱藏系統(tǒng)文件。)看到這就刪除掉,可以解決了。
