Board logo

标题: [讨论]交流pagefile病毒查杀的经验 [打印本页]

作者: 翔龙天下    时间: 2008-2-24 12:17     标题: [讨论]交流pagefile病毒查杀的经验

昨天,应一个亲戚的要求,去帮他的电脑看看,因为他反应最近一段时间电脑运行变的相当的慢,而且还经常的自动弹出一些莫名网页。当下心想,那是中病毒的常见表现,应该很快可以搞定,于是带了几个常见的软件就过去了亲戚家。

去到亲戚家,开电脑的过程相当慢,安装的卡巴斯基也被屏蔽掉,超级兔子上网精灵也被屏蔽,注册表可以使用,“msconfig”运行也正常,但进程里有几个陌生的名称“pagefile等等(后悔当时没抄下来),禁不掉,因为亲戚对电脑不熟悉,因此存放在几个盘里的资料都相当的乱,也看不出是自行下载的一些软件是什么名堂。 想打开文件夹里的系统属性的时候发现,只有显示系统文件夹的内容显示所有文件和文件夹,却少了一个隐藏受保护的操作系统文件(推荐),原来想先上网查一下原因,但鉴于打开网页的速度出奇的慢,于是下网,决定重装系统会更快。 重装系统很顺利,打开文件夹属性的时候,隐藏受保护的操作系统文件(推荐)也重新出现;接着把卡巴装好,升级,彻底查杀病毒(相当多都是刚从偶的U盘里拷贝进来的软件),在存放下载软件的盘(G盘)里,也查出很多木马和病毒,原以为可以搞定,想打开G盘看看的时候,发现卡巴又再次被屏蔽,并且在进程里也消失了。“pagefile”这个陌生的东西又再次出现,还是禁不掉,隐藏受保护的操作系统文件(推荐)同时也不见了,注册表里的RUN运行项也不见了,上网速度又恢复到龟速,看来电脑又中毒了。 无奈中,想起表妹经常使用U盘,应该是U盘引起,考虑到刚才打开G盘的时候是双击,应该是这里出了问题,但到底是什么病毒,心里也没底,因为刚刚才查杀了一大堆病毒出来,而且上网速度又变回相当的慢,莫名网页又开始弹出来,不能上网去查了,决定下线,但是网络连接又老是自动弹出来(亲戚家里是ADSL拨号上网的),于是知道这次自己是碰到对手了,因为看不到被隐藏了的操作系统文件,只是知道G盘里十几M的空间被占用着。

只好再次重装系统,查杀病毒。决定避开G盘,不再双击,发现卡巴运作正常,G盘里有很多不知名软件,也有隐藏的系统文件“antorun.inf ”等等,还有一些“pagefile”的文件夹,问题找到,当然是删除,退出G盘,查看空间容量,也恢复正常,以为搞定,于是开始安装常用软件,想打开装软件的D盘的时候(一时大意使用了双击),卡巴再次被屏蔽,所有系统文件再次被隐藏,看来应该是所有盘都被感染了。于是知道病情所在,是双击惹的祸,前段时间知道有这样一个病毒会感染整个硬盘,现在才知道威力是这样大。

决定到安全模式下看个究竟,但反复多次,系统就是进不了安全模式,均变成正常启动,安全模式下进不了,系统文件被隐藏。无奈,又一次重装系统,已经耗了一个上午的时间。

吃了午饭,安装好系统,再查杀病毒,所有操作只使用单击,再将各个盘里的陌生文件一一删除,在准备安装软件的时候,打开E盘一个类似“中国游戏在线”的文件夹的时候,卡巴再次被屏蔽,症状再次出现,欲哭无泪。这已经是第四次重装系统,但问题还没解决,神啊,救救我吧!

看来还有被伪装了的病毒没被查杀,依然到处都是地雷,卡巴在这次的表现中,咋就这样脆弱。搞不清楚到底还有多少地雷存在,好在亲戚的电脑存放东西不多,于是决定破釜沉舟,在征得亲戚的同意下,将一些文件,相片做好备份到表妹的U盘里,然后彻底格式化掉硬盘,第五次重装系统,第一个先安装卡巴,直接从网上下载,升级,查杀病毒(未有任何发现),所有软件都从网上直接下载安装,一切顺利,安装好后,因为有一个破解软件网上难找,于是决定从偶的U盘里拷贝过来,拷贝的时候相当小心,没发现任何问题,就是感觉软件的SETUP文件图标有点怪怪的,但这个是从偶电脑上拷贝过来的,应该没有问题,于是双击安装,瞬间卡巴再次被屏蔽,症状再次出现,想起偶的U盘在第二次重装系统的时候曾经拷贝过软件到电脑里,但卡巴也没报警,可能在这个时候,病毒已经把U盘里的安装文件感染了。

无奈下只好第六次重装系统,格式化硬盘,吸取前五次教训,终于把电脑弄好,表妹的U盘也彻底查杀病毒,除了相片和文档,其余的一律删除,偶的U盘里的所有可执行安装软件也全部删除,这次的行动终于告一段落,一个下午也过去了。

一天内同一部电脑三次格式化硬盘,六次重装系统,应该算是我的记录了,也只能怪自己学艺不精吧!


作者: 翔龙天下    时间: 2008-2-24 12:28

这次过程的经验:

1、一定要关闭电脑的自动运行;

2、对于U盘的使用,切记不可双击,现在的病毒更新的太快;

3、经常上网浏览最新病毒的资料,做到起码知道一点,处理起来也好下手;

4、虽然现在的电脑鼠标操作方便,但DOS下的操作也有必要熟悉;

5、网络上的东西不要随便下载使用。


作者: 翔龙天下    时间: 2008-2-24 12:32

回家以后,打开电脑对照了一下心中有怀疑的那个软件的安装包来看了一下,果然是不同,偶电脑里的那个软件的SETUP文件图标是相当清晰的,而那个被感染了的图标是有些模糊的,但不认真看,还是容易中招。
作者: 翔龙天下    时间: 2008-2-24 12:36

回家找了一下“pagefile病毒的删除方法”,但网上介绍的方法都比较复杂,不知道大家有没有相似的经验,或者可以交流一下。

网上找的资料:

双击D盘打不开 : 现在很多病毒木马会应用到这个重复感染的方法;因为他们知道发生问题你会重新做系统或GHOST还原].但是他们在其他盘里做手脚你就不好办了哦;下面我就为你分析分析和处理几个方法:

(根据你说的症状,应该是你的机子中了一种后门病毒:Iexplores.exe.这个后可使后门种植者通过该后门秘密控制受感染机器,这个病毒工作于Windows 32平台。病毒会在硬盘的根目录生成explores.exe文件,这个文件的作用是:当你双击硬盘的盘符时,系统会调用Iexplores.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。另外病毒可以通过移动存储介质进行传播(U盘,移动硬盘).大多的杀毒软件可以对其进行查杀!但是感染症状依然存在;感染症状:windows无法找到Iexplores.exe或者双击活动硬盘无法直接打开,而是出现一对话框,只能通过右键---打开才能浏览分区内容.

解决方法:

右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下,选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在你的盘符下多了一antorun.inf 的文件,打开我们可以看到如下的内容: [AUTORUN] open=Iexplorers.exe 这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件,即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因,知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入

Iexplorers.exe,点查找,接下来会在注册表中找到此键值.一般在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\下. For example:如果是你的移动硬盘的盘符f盘打不开,那么你将会在 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.f3查找下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件.问题即可解决! 建议你安装杀毒软件和防火墙,并及时升级,及时对移动存储设备进行查杀,如感染,可以参照上面的方法恢复!另外,如果你对注册表不熟悉的请在操作前先备份注册表!!!! )

2(解决办法引之本区。

1、修改注册表启动项,加入(在MSCONFIG中可查到) c:\windows\services.exe 此病毒文件被运行后,将修改.exe关联文件(assoc .exe 看到为 winfiles,正常应该为 exefile),并同时生成几个固定的病毒文件,作为关联调用

2、生成如下 D:盘生成 autorun.inf [autorun] OPEN=D:\pagefile.pif (作用:打开D盘时运行病毒) c:\windows目录 c:\windows\services.exe 作为系统进程运行无法手工终止 C:\WINDOWS\ExERoute.exe EXE关联使用之一 C:\WINDOWS\1.com 启动时执行, C:\WINDOWS\finder.com C:\WINDOWS\explorer.com 另外还有几个COM的文件,其大小都一样size: 33,833 C:\WINDOWS\system32\command.pif C:\WINDOWS\system32\rundll32.com C:\WINDOWS\system32\finder.com C:\WINDOWS\system32\MSCONFIG.COM C:\WINDOWS\system32\dxdiag.com C:\WINDOWS\system32\regedit.com C:\WINDOWS\Debug\DebugProgram.exe 程序出错调试调用其它目录 C:\Program Files\Internet Explorer\iexplore.com 被关联于开始菜单的IE执行及HTM的执行 C:\Program Files\Common Files\Explorer.PIF 外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工

清除: 1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性: attrib -r -h -s *.com 再逐个删除每个目录都这么做 2、恢复EXE文件关联 assoc .exe=exefile 3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除

1、运行cmd.exe cd\windows\system32\ copy cmd.exe cmd.com 如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

2、先使用木马查杀,最强的杀木马软件:Ewido v3.5 绿色简体注册版(免安裝可升級)下载地址:http://bbs.flasher123.com/dispbbs.asp?boardid=25&id=39745木马全盘查杀完,请不要执行任何文件

3、开始->运行->输入cmd.com (或者点流览,选择到 c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此

时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)

4、此时已进入DOS下,输入 assoc .exe=exefile 这样就解除了EXE的文件

5、打开msconfig.exe 将 services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,在DOS下手工清除,通过查看文件大小为33833的文件将其删除。

另个补充一下解决办法, 用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹

--显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。)

如果 连杀毒软件都装不了。可以这样:把你的硬盘接到朋友装有杀毒软件的电脑上进行杀毒。 或做个DOS杀毒盘,在别的机器上做个最新版的,江民、金山、瑞星都有

-------------------------------------------

另外现在发现:有种QQ尾巴病毒,Win32.Troj.QQLee.ak在作祟! 此病毒会在所有硬盘下建立一个隐藏的autorun.ini的配置文件,内容为open=system32.exe 同样也会生成admin.bat的批处理文件,使用网络命令建立一个名为Lee的用户,密码为12345#@!并将此用户提升到管理员权限。这样用户一旦双击硬盘(选右键打开或通过输入盘符打开都没事)就会自动被建立一个管理员帐户,病毒也投入使用了. 方法:删除system32.exe及其其他生成文件,autorun.ini admin.bat,在注册表中删除相应键值,杀毒即成功了。有的用户会发生双击硬盘提示找不到system32.exe这个是由于没有删除autorun.ini所导致的

==================================

看你视频操作的-好象你是双击D盘不开,用右键打开.第一项变成了自动播放.电脑上多了个pagefile.pif这个文件 ;;

1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。

2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。) 这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。

3.开始---运行---cmd(打开命令提示符) D: dir /a (没有参数A是看不到的,A是显示所有的意思)此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性 最后运行del autorun.inf

4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期是机器中毒当天日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下: CODE:[Copy to clipboard][autorun] OPEN=D:\pagefile.pif 将autorun.inf文件删除。

5.开始---运行---regedit(打开注册表) 查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。 --------------------------------重新为你提供个手动删除的方法参考下--------------------------------------------

D盘双击打不开,里面有autorun.inf和pagefile.com文件 在安全模式用Administrator一样解决不了;手动一个一个把它揪出来删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。 D盘里就两个,搞得你无法双击打开D盘。里盘里的就多了! D:\autorun.inf D:\pagefile.com C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com C:\WINDOWS\1.com C:\WINDOWS\iexplore.com C:\WINDOWS\finder.com C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的) C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的) C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。 C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com C:\Windows\system32\a.exe 对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不 要运行任何程序,要不就又启动了,包括双击磁盘 还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!! C:\Windows\WINLOGON.EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。 真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM, 而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。 这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!!这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来! 知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!! 然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉, 然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过!然后再注销。 在过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。 然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件 然后行动可以进入到DOS下的命令提示符。 再打入以下的命令: assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。 但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置 最后说一下怎么解决开机跳出找不到文件“1.com”的方法: 在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中 把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 大功告成!

如果没有病毒,请按这个方法解决D盘打不开 1.打开文件夹选项-文件类型找到“驱动器”点下方的“高级”,点选“编辑文件类型”里的“新建”,操作里填写“open”,用于执行操作的应用程序里填写explorer.exe,确定,随后返回到“编辑文件类型”窗口,选中open,设为默认值,确定. 2.或者找到HKEY_CLASSES_ROOT\Drive\shell将shell删除 然后关闭注册表按键盘F5刷新或重启电脑。 运行 输入regedit 找到[HKEY_CLASSES_ROOT\Directory\shell]将shell删除然后关闭注册表 按键盘F5刷新 双击分区再看 3.我的电脑 文件夹选项 查看隐藏已知受系统保护的文件勾去掉,显示所有文件勾上.开始搜索该盘下的AutoRun.inf找到后删除


作者: 满溪流水香    时间: 2008-6-24 10:22

厉害!!!
作者: 幻影2000    时间: 2008-6-24 12:58

一般难以对付的病毒,还是用pe启动电脑查杀病毒吧,呵呵。

1、拔下网线;

2、用光盘WinPE内存操作系统。

3、删除不用的文件,尤其是启用了系统还原功能的用户,删掉所有盘下的“System Volume Information”文件夹;

4、杀毒软件,可用卡巴斯基7.0老毛桃版,升级好打包,在winpe下安装。当然也可用nod32绿色版等;

5、使用最新的超级巡警、windows清理助手、360安全卫士、360顽固木马清除工具、u盘(自动运行)专杀工具等绿色版木马恶意程序查杀软件;

查杀完毕后,在安全模式下,清理系统垃圾,再运行windows清理助手,查杀完毕后,重新启动。

用360安全卫士或其它软件修复ie、LSP等。

补充一句,看看系统时间是不是被改了,如是,调正。

系统正行后,插上网线。


作者: johnny23    时间: 2008-9-9 22:14

LZ为什么不用安全卫士360?先?

在安全模式下杀啊!


作者: 翔龙天下    时间: 2008-10-23 21:47

以下是引用johnny23在2008-9-9 22:14:56的发言:

LZ为什么不用安全卫士360?先?

在安全模式下杀啊!

呵呵,当时手上没这个软件,而且安全模式也进不到~~


作者: rinyxa    时间: 2010-2-7 07:17

这么复杂啊,我是搞不定了。




欢迎光临 疾控家园 (http://cdcman.s1.288idc.com/) Powered by Discuz! 7.2