1.找到D盤的pagefile.pif文件,看它創建的日期是什么時候。刪除之。
2.用系統還原功能,把系統還原到病毒產生之前的日期。這樣系統進程里就暫時不會有病毒及其相關聯的進程。不過似乎有的人在這時候即使做系統還原也無效(提示是“系統沒被修改,無法還原”)。
這時候也可以用另外一種方法:用Windows的搜索功能分別在C盤和D盤查找病毒產生的當天文件,文件大小限制在50K以內,文件名不限。這樣大概總共能找到4個左右病毒的MS-DOS相關文件(包括pagefile.pif),日期和大小都差不多的,刪除之。
3.開始---運行---cmd(打開命令提示符)
D: dir /a (沒有參數A是看不到的,A是顯示所有的意思) 此時你會發現D盤有一個autorun.inf文件,運行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏屬性
最后運行del autorun.inf
4.如果上面一步覺得不理解,那么在"工具-文件夾選項-查看"中選中"顯示所有文件及文件夾",并且取消“隱藏受保護的操作系統文件”,這樣你就會在D盤看到一個隱藏文件autorun.inf,這個文件的產生日期果然是我機器中毒當天12月27日(記得把只讀屬性取消)。打開這個文件,可以看到它自動運行的內容,如下:
[code]
[autorun]
OPEN=D:pagefile.pif
[/code]
將autorun.inf文件刪除。
5.開始---運行---regedit(打開注冊表)
查找pagefile.pif,并將其整個shell子鍵刪除。至此,病毒完美刪除。
一、 Trojan.PSW.Lmir.iux
這個壞家伙,不知道誰在我電腦上上了,把這個壞家伙給引來了,起初我還不知道,我一看怎么電腦越來越慢了呀。看了下進程,怎么C:WINDOWSservices.exe有這個鳥東西呀。就知道中馬了,然后就刪呀刪,沒想到這家伙關聯了這么多文件,而且還關聯了IE。
昨天還浪費了我點時間,諾頓查不了這個家伙暈死了,然后拉出可怕的瑞星在線殺毒,查出一共有N個文件,昨天就是不知道一共有幾個文件,所以怎么清也清不干凈呢。
沒想到這家伙還有蠻多個的呀。 寫了個BAT把它給K了。
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
@echo off
attrib -s -r -a -h c:windows1.com
attrib -s -r -a -h c:windowsservices.exe
attrib -s -r -a -h c:windowsexplorer.com
attrib -s -r -a -h c:windowsfinder.com
attrib -s -r -a -h c:windowsexeroute.exe
attrib -s -r -a -h c:windowsdebugdebugprogram.exe
attrib -s -r -a -h c:windowssystem32 egedit.com
attrib -s -r -a -h c:windowssystem32dxdiag.com
attrib -s -r -a -h c:windowssystem32msconfig.com
attrib -s -r -a -h c:windowssystem32command.pif
attrib -s -r -a -h c:windowssystem32finder.com
attrib -s -r -a -h c:windowssystem32 undll32.com
attrib -s -r -a -h c:windowssystem32i.com
attrib -s -r -a -h c:progra~1common~1iexplore.pif
attrib -s -r -a -h c:progra~1intern~1iexplore.com
attrib -s -r -a -h d:pagefile.pif
rem ===============================================
@echo Execute DELETE...
@echo off
del c:windows1.com
del c:windowsservices.exe
del c:windowsexplorer.com
del c:windowsfinder.com
del c:windowsexeroute.exe
del c:windowsdebugdebugprogram.exe
del c:windowssystem32 egedit.com
del c:windowssystem32dxdiag.com
del c:windowssystem32msconfig.com
del c:windowssystem32command.pif
del c:windowssystem32finder.com
del c:windowssystem32 undll32.com
del c:windowssystem32i.com
del c:progra~1common~1iexplore.pif
del c:progra~1intern~1iexplore.com
del d:pagefile.pif
@echo ===============================================
@echo End...
@echo ===============================================
重啟之后。Exe關聯出錯,命令行安全模式下執行assoc .exe=exefile 再重啟,搞定。
好了,不用再想著這個家伙了。呵呵。
注:這個病毒命是瑞星報的哦。別的殺軟不一定一樣的哦。我發現在的幾點寫下:
一、啟動項中多出一個Shell 參數為 Explorer.exe 1 多了一個1,正常的沒有1。
二、Run、Runonce鍵值中多出了一個Trojan Program,程序文件位于c:windowsservices.exe。
三、在D盤中寫入一個Autorun.inf文件,Open的參數為pagefile.pif。這家伙很壞,一打開D盤也是啟動這個壞家伙,還有在taskmgr.exe中結束不了services.exe這個進程,我是用冰刃結掉,然后刪除掉的。
別的暫時也沒想出什么,不知道這個家伙是盜什么的,好像是傳奇世界的馬吧,不太清楚。
二、這幾天機子很慢,我用的是2000系統,在進行里發現老是瑞星在占用CPU,可是我根本沒有殺毒,而且現在開機后瑞星不能自行啟動了,而且也不能手動啟動,也不能升級,好象是被控制了,我在D盤里找到一個文件,pagefile.pif的快捷方式很不尋常,是MSDOS的圖標,還有那個autorun.inf就是指向這個文件的,可是我把它刪除重啟后還是有,在安全模式下刪除也不行,開機后還是有,我在硬盤里找不到pagefile.pif源文件,真是怪了
大家看看我這個是什么問題?
解決辦法引之本區。
1、修改注冊表啟動項,加入(在MSCONFIG中可查到)
c:windowsservices.exe
此病毒文件被運行后,將修改.exe關聯文件(assoc.exe看到為winfiles,正常應該為exefile),并同時生成幾個固定的病毒文件,作為關聯調用
2、生成如下
D:盤生成
autorun.inf
[autorun]
OPEN=D:pagefile.pif(作用:打開D盤時運行病毒)
c:windows目錄c:windowsservices.exe作為系統進程運行無法手工終止
C:WINDOWSExERoute.exeEXE關聯使用之一
C:WINDOWS1.com啟動時執行,
C:WINDOWSfinder.com
C:WINDOWSexplorer.com
另外還有幾個COM的文件,其大小都一樣size:33,833
C:WINDOWSsystem32command.pif
C:WINDOWSsystem32 undll32.com
C:WINDOWSsystem32finder.com
C:WINDOWSsystem32MSCONFIG.COM
C:WINDOWSsystem32dxdiag.com
C:WINDOWSsystem32 egedit.com
C:WINDOWSDebugDebugProgram.exe程序出錯調試調用其它目錄C:ProgramFilesInternetExploreriexplore.com被關聯于開始菜單的IE執行及HTM的執行C:ProgramFilesCommonFilesExplorer.PIF外殼調用傳染當你打開分區時,桌面有刷新狀態,說明此文件被調用手工清除:
1、在DOS狀態下,刪除所有相關的文件,因為文件屬性都為RHS,所以要先改掉屬性:
attrib-r-h-s*.com
再逐個刪除每個目錄都這么做
2、恢復EXE文件關聯
assoc.exe=exefile
3、注意一定要刪除干凈,只要存在一個都有可能使它執行,而重新感染如果進不了DOS的,可使用軟件輔助刪除
1、運行cmd.exe
cdwindowssystem32
copycmd.execmd.com
如果進入不了cmd.exe,可以直接到文件夾里將其改名為cmd.com
2、先使用木馬殺客查殺,下載地址:木馬殺客.rarhttp://down.fzii.com/安全工具/木馬殺客.rar
木馬殺客全盤查殺完,請不要執行任何文件
3、開始->運行->輸入cmd.com(或者點流覽,選擇到c:windowssystem32目錄,找到cmd.com,如果還未改為com,一定要先改才運行,因為此時病毒已將關聯更改,如果看不到后綴,請到文件夾選項里開啟,不隱藏已知關聯的選項)
4、此時已進入DOS下,輸入assoc.exe=exefile這樣就解除了EXE的文件
5、打開msconfig.exe將services的啟動去除,即可。如果還是傳染病毒,說明某些文件未清除,筆者是在DOS下手工清除的,通過查看文件大小為33833的文件將其刪除。
另個補充一下我的解決辦法,用KV2005就可以刪除上面病毒,然后手動清掉啟動的中選項。,解決病毒后,會有后遺癥,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盤打不開,右盤選擇打開,里有autorun.ini可能是隱藏的,(我的電腦,--工具--文件夾--顯示所有文件,不隱藏系統文件。)看到這就刪除掉,可以解決了。
三、
解決辦法引之本區。
1、修改注冊表啟動項,加入(在MSCONFIG中可查到)
c:windowsservices.exe
此病毒文件被運行后,將修改.exe關聯文件(assoc .exe 看到為 winfiles,正常應該為 exefile),并同時生成幾個固定的病毒文件,作為關聯調用
2、生成如下
D:盤生成
autorun.inf
[autorun]
OPEN=D:pagefile.pif (作用:打開D盤時運行病毒)
c:windows目錄 c:windowsservices.exe 作為系統進程運行無法手工終止
C:WINDOWSExERoute.exe EXE關聯使用之一
C:WINDOWS1.com 啟動時執行,
C:WINDOWSfinder.com
C:WINDOWSexplorer.com
另外還有幾個COM的文件,其大小都一樣size: 33,833
C:WINDOWSsystem32command.pif
C:WINDOWSsystem32 undll32.com
C:WINDOWSsystem32finder.com
C:WINDOWSsystem32MSCONFIG.COM
C:WINDOWSsystem32dxdiag.com
C:WINDOWSsystem32 egedit.com
C:WINDOWSDebugDebugProgram.exe 程序出錯調試調用其它目錄 C:Program FilesInternet Exploreriexplore.com 被關聯于開始菜單的IE執行及HTM的執行 C:Program FilesCommon FilesExplorer.PIF 外殼調用傳染當你打開分區時,桌面有刷新狀態,說明此文件被調用手工清除:
1、在DOS狀態下,刪除所有相關的文件,因為文件屬性都為RHS,所以要先改掉屬性:
attrib -r -h -s *.com
再逐個刪除每個目錄都這么做
2、恢復EXE文件關聯
assoc .exe=exefile
3、注意一定要刪除干凈,只要存在一個都有可能使它執行,而重新感染如果進不了DOS的,可使用軟件輔助刪除
1、運行cmd.exe
cdwindowssystem32
copy cmd.exe cmd.com
如果進入不了cmd.exe,可以直接到文件夾里將其改名為cmd.com
2、先使用木馬殺客查殺,下載地址:木馬殺客 http://www.pcav.cn/Soft/mmxg/mm/200608/430.html
木馬殺客全盤查殺完,請不要執行任何文件
3、開始->運行->輸入cmd.com (或者點流覽,選擇到 c:windowssystem32目錄,找到cmd.com,如果還未改為com,一定要先改才運行,因為此時病毒已將關聯更改,如果看不到后綴,請到文件夾選項里開啟,不隱藏已知關聯的選項)
4、此時已進入DOS下,輸入 assoc .exe=exefile 這樣就解除了EXE的文件
5、打開msconfig.exe 將 services的啟動去除,即可。如果還是傳染病毒,說明某些文件未清除,筆者是在DOS下手工清除的,通過查看文件大小為33833的文件將其刪除。
另個補充一下我的解決辦法,用KV2005就可以刪除上面病毒,然后手動清掉啟動的中選項。,解決病毒后,會有后遺癥,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盤打不開,右盤選擇打開,里有autorun.ini可能是隱藏的,(我的電腦,--工具--文件夾--顯示所有文件,不隱藏系統文件。)看到這就刪除掉,可以解決了。
