pagefile.pif(落雪病毒)病毒解决方案

病毒发作的时候 <BR><BR>1.无法双击打开D盘，D盘变成了自动播放，只能靠右键选择"打开" <BR><BR>2.D盘生成2个文件，pagefile.pif以及autorun.inf（这个是隐藏文件），打开autorun.inf文件，发现里面运行的是OPEN=D:/pagefile.pif <BR><BR>3.注册表里出现这个HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/{05bea2b3-102d-11da-9a7a-806d6172696f}/Shell/AutoRun/command以及HKEY_USERS/S-1-5-21-1123561945-854245398-1708537768-1003/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/{05bea2b3-102d-11da-9a7a-806d6172696f}/Shell/AutoRun/command，里面启动的就是D:/pagefile.pif <BR><BR>4.C盘windows目录下生成1.com等文件 <BR><BR>5.msconfig启动项无法打开（注册表可以打开） <BR><BR>6.杀毒软件无法运行，木马克星无法运行 <BR><BR>7.进程里出现另一个winlogon.exe <BR><BR>8.点击Windows窗口左下脚"开始"，上方的IE图标无法显示，下面多了个易趣的图标并且链接指向某个网址（出于安全问题，这个网址我不能公开，可能是病毒的网址） <BR><BR>9.hijackthis这个方法，当时已经把进程里的病毒进程"C:/WINDOWS/WINLOGON.EXE"删掉了，但5秒钟后我重新启动hijackthis扫描的时候，这个进程又出现了。也就是说，它当时还关联了其他病毒程序，并且那个程序并没有在hijackthis扫描出来的列表里出现。此外，注册表和C:/WINDOWS/的目录里均没有WINLOGON.EXE这个程序。 <BR><BR>解决篇： <BR><BR>1.找到D盘的pagefile.pif文件，看它创建的日期是什么时候。删除之。 <BR><BR>2.用系统还原功能，把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效（提示是“系统没被修改，无法还原”）。 <BR><BR>这时候也可以用另外一种方法：用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件，文件大小限制在50K以内，文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件（包括pagefile.pif），日期和大小都差不多的，删除之。 <BR><BR>3.开始---运行---cmd（打开命令提示符） <BR>D: dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现D盘有一个autorun.inf文件，运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性 <BR>最后运行del autorun.inf <BR><BR>4.如果上面一步觉得不理解，那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹"，并且取消“隐藏受保护的操作系统文件”，这样你就会在D盘看到一个隐藏文件autorun.inf，这个文件的产生日期果然是我机器中毒当天12月27日（记得把只读属性取消）。打开这个文件，可以看到它自动运行的内容，如下： <BR><BR>&lt;DIV style="FLOAT: left">CODE:&lt;/DIV><BR>&lt;DIV class=altbg2 id=code0 style="CLEAR: both; BORDER-RIGHT: #698cc3 1px solid; PADDING-RIGHT: 10px; BORDER-TOP: #698cc3 1px solid; PADDING-LEFT: 10px; PADDING-BOTTOM: 10px; MARGIN: 3px 2em 2em; BORDER-LEFT: #698cc3 1px solid; WORD-BREAK: break-all; PADDING-TOP: 5px; BORDER-BOTTOM: #698cc3 1px solid">[autorun] <BR>OPEN=D:/pagefile.pif&lt;/DIV><P><BR>将autorun.inf文件删除。 <BR><BR>5.开始---运行---regedit（打开注册表） <BR>查找pagefile.pif，并将其整个shell子键删除。至此，病毒完美删除。 <BR><FONT color=#6600cc size=3><STRONG>下面的是落雪专杀的软件，请在安全模式下运行才有可能杀干净（方法：开机时按F8进入安全模式）</STRONG></FONT> <BR><A target=_blank href="http://clubfile2.chinaren.com/uploadfile/200608/641/urVcXR.rar" target=_blank>http://clubfile2.chinaren.com/uploadfile/200608/641/urVcXR.rar</A> </P><P><FONT face=Verdana>落雪木马专杀工具 V1.0绿色特别版 游戏大盗病毒江民专杀 </FONT><A target=_blank href="http://www.xdowns.com/soft/8/21/2006/Soft_32581.html"><FONT face=Verdana>http://www.xdowns.com/soft/8/21/2006/Soft_32581.html</FONT></A><FONT face=Verdana> </FONT></P>