回家找了一下“pagefile病毒的删除方法”,但网上介绍的方法都比较复杂,不知道大家有没有相似的经验,或者可以交流一下。
网上找的资料:
双击D盘打不开 :
现在很多病毒木马会应用到这个重复感染的方法;因为他们知道发生问题你会重新做系统或GHOST还原].但是他们在其他盘里做手脚你就不好办了哦;下面我就为你分析分析和处理几个方法:
(根据你说的症状,应该是你的机子中了一种后门病毒:Iexplores.exe.这个后可使后门种植者通过该后门秘密控制受感染机器,这个病毒工作于Windows 32平台。病毒会在硬盘的根目录生成explores.exe文件,这个文件的作用是:当你双击硬盘的盘符时,系统会调用Iexplores.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。另外病毒可以通过移动存储介质进行传播(U盘,移动硬盘).大多的杀毒软件可以对其进行查杀!但是感染症状依然存在;感染症状:windows无法找到Iexplores.exe或者双击活动硬盘无法直接打开,而是出现一对话框,只能通过右键---打开才能浏览分区内容.
解决方法:
右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下,选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在你的盘符下多了一antorun.inf 的文件,打开我们可以看到如下的内容:
[AUTORUN]
open=Iexplorers.exe
这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件,即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因,知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入
Iexplorers.exe,点查找,接下来会在注册表中找到此键值.一般在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\下.
For example:如果是你的移动硬盘的盘符f盘打不开,那么你将会在
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
\MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.f3查找下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件.问题即可解决!
建议你安装杀毒软件和防火墙,并及时升级,及时对移动存储设备进行查杀,如感染,可以参照上面的方法恢复!另外,如果你对注册表不熟悉的请在操作前先备份注册表!!!! )
2(解决办法引之本区。
1、修改注册表启动项,加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后,将修改.exe关联文件(assoc .exe 看到为 winfiles,正常应该为 exefile),并同时生成几个固定的病毒文件,作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif (作用:打开D盘时运行病毒)
c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exe EXE关联使用之一
C:\WINDOWS\1.com 启动时执行,
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件,其大小都一样size: 33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工
清除:
1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:
attrib -r -h -s *.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc .exe=exefile
3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除
1、运行cmd.exe
cd\windows\system32\
copy cmd.exe cmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com
2、先使用木马查杀,最强的杀木马软件:Ewido v3.5 绿色简体注册版(免安裝可升級)下载地址:http://bbs.flasher123.com/dispbbs.asp?boardid=25&id=39745木马全盘查杀完,请不要执行任何文件
3、开始->运行->输入cmd.com (或者点流览,选择到 c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此
时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)
4、此时已进入DOS下,输入 assoc .exe=exefile 这样就解除了EXE的文件
5、打开msconfig.exe 将 services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,在DOS下手工清除,通过查看文件大小为33833的文件将其删除。
另个补充一下解决办法,
用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹
--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。)
如果 连杀毒软件都装不了。可以这样:把你的硬盘接到朋友装有杀毒软件的电脑上进行杀毒。
或做个DOS杀毒盘,在别的机器上做个最新版的,江民、金山、瑞星都有
-------------------------------------------
另外现在发现:有种QQ尾巴病毒,Win32.Troj.QQLee.ak在作祟!
此病毒会在所有硬盘下建立一个隐藏的autorun.ini的配置文件,内容为open=system32.exe
同样也会生成admin.bat的批处理文件,使用网络命令建立一个名为Lee的用户,密码为12345#@!并将此用户提升到管理员权限。这样用户一旦双击硬盘(选右键打开或通过输入盘符打开都没事)就会自动被建立一个管理员帐户,病毒也投入使用了.
方法:删除system32.exe及其其他生成文件,autorun.ini admin.bat,在注册表中删除相应键值,杀毒即成功了。有的用户会发生双击硬盘提示找不到system32.exe这个是由于没有删除autorun.ini所导致的
==================================
看你视频操作的-好象你是双击D盘不开,用右键打开.第一项变成了自动播放.电脑上多了个pagefile.pif这个文件 ;;
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。)
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。
3.开始---运行---cmd(打开命令提示符)
D: dir /a (没有参数A是看不到的,A是显示所有的意思)此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
最后运行del autorun.inf
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期是机器中毒当天日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:
CODE:[Copy to clipboard][autorun]
OPEN=D:\pagefile.pif
将autorun.inf文件删除。
5.开始---运行---regedit(打开注册表)
查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。
--------------------------------重新为你提供个手动删除的方法参考下--------------------------------------------
D盘双击打不开,里面有autorun.inf和pagefile.com文件
在安全模式用Administrator一样解决不了;手动一个一个把它揪出来删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不
要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!!这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过!然后再注销。
在过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成!
如果没有病毒,请按这个方法解决D盘打不开
1.打开文件夹选项-文件类型找到“驱动器”点下方的“高级”,点选“编辑文件类型”里的“新建”,操作里填写“open”,用于执行操作的应用程序里填写explorer.exe,确定,随后返回到“编辑文件类型”窗口,选中open,设为默认值,确定.
2.或者找到HKEY_CLASSES_ROOT\Drive\shell将shell删除 然后关闭注册表按键盘F5刷新或重启电脑。
运行 输入regedit 找到[HKEY_CLASSES_ROOT\Directory\shell]将shell删除然后关闭注册表 按键盘F5刷新 双击分区再看
3.我的电脑 文件夹选项 查看隐藏已知受系统保护的文件勾去掉,显示所有文件勾上.开始搜索该盘下的AutoRun.inf找到后删除 |