十三风子 发表于 2006-12-13 16:13:17

pagefile谁来帮我杀杀!!!!!!!!!!!!!!!!!!!!!!!!!!!

pagefile太难杀了,用了网上所有的方法,都杀不了
谁来我宿舍试试啊
            急阿~~~~~~~~~~~~~!:'(

旋木dé聆聽 发表于 2006-12-13 16:18:11

中了Infostealer.QQRob.A这个木马,症状为不能显示系统隐藏文件,打开某一分区会提示打开方式,系统变慢。

原因:Infostealer.QQRob.A病毒处理

病毒症状:

双击任何一个盘符打开都不能打开,通过点击盘符右键打开才可以。 右键菜单出现auto

病毒描述:

1. 打开任何一个硬盘分区后,诺顿都能发出警告并隔离该病毒的病毒文件:tel.xls.exe、SockSa.exe。

2. 系统文件以及隐藏文件通过修改查看属性后不能查看。

3. 病毒通过在每个磁盘分区根目录下产生一个autorun.ini文件,文件内容如下:

open=tel.xks.exe
…………


4. 进程里存在kill.exe、svch0st.exe。此情况下,删除autorun.ini失败,删除后仍然会产生新的文件。安全模式下删除没有问题。

旋木dé聆聽 发表于 2006-12-13 16:18:30

4. 全盘搜索并删除tel.xls.exe、SockSa.exe、kill.exe、svch0st.exe文件,并在注册表里搜索这些文件的注册表键值并清除。

5. 删除每个磁盘分区根目录下的autorun.ini文件。

6. 修改文件夹查看属性后重启即可。

旋木dé聆聽 发表于 2006-12-13 16:19:50

我用这样删得差不多了,就差一个盘上面的了,
还在努力中,
楼主也可以试一下

十三风子 发表于 2006-12-13 16:23:31

不是这个毒,是msdos 的一个文件叫pagefile的还有一个autorun文件

旋木dé聆聽 发表于 2006-12-13 16:24:09

1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。


2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。

这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。


3.开始---运行---cmd(打开命令提示符)

D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性

最后运行del autorun.inf



4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:





OPEN=D:\pagefile.pif



将autorun.inf文件删除。


5.开始---运行---regedit(打开注册表)

查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。

旋木dé聆聽 发表于 2006-12-13 16:25:14

给楼主,一个更清楚的答案吧,


那个是会造成,双击打不开硬盘

旋木dé聆聽 发表于 2006-12-13 16:26:21

我今天中午努力了一个中午,终于把电脑给搞定了,

十三风子 发表于 2006-12-13 16:27:29

对,就是这个毒,好像叫落雪是吗,上面那个方法我试过,无效!
江民的落雪专杀试过,无效!

旋木dé聆聽 发表于 2006-12-13 16:30:25

要手动哦

.开始---运行---cmd(打开命令提示符)

D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性

最后运行del autorun.inf

这样就可以删了,autorun.inf

努力寻找更好的方法中哦

我D盘上还有一个pagefile.pif没有办法搞定,还在努力寻找办法中

其它盘的都搞定了,

十三风子 发表于 2006-12-13 16:33:12

试了,表面上是杀了,但再开机他还会再复制的

旋木dé聆聽 发表于 2006-12-13 16:33:49

“pagefile.sys”是页面交换文件,这个文件不能删除,不过我们可以改变其大小和存放位置:右击“我的电脑/属性”,然后在对话框的“高级”标签下单击“性能”下的“设置”按钮,在”性能选项”对话框中切换到“高级”标签下,再单击“虚拟内存”下的“更改”按钮,即可根据需要更改页面文件的大小——先选中C盘,然后选“无分页文件”,再点“设置”按钮;之后选中要生成该文件的盘符,在下面点选“自定义大小”并输入合适的数值,此数值通常为物理内存的1.5倍,再单击“设置”,最后确定,重新启动电脑,该文件就在其他分区上了。


还有刚找到了一个东西,
我差点忘了我的虚拟内存是放在D盘的,

旋木dé聆聽 发表于 2006-12-13 16:37:29

在把注册表中的一些
tel.xls.exe、SockSa.exe、kill.exe、svch0st.exe键值清除。

十三风子 发表于 2006-12-13 16:40:46

谢谢,我试试
本来要到社联找机协,不过每人值班.......:L

旋木dé聆聽 发表于 2006-12-13 16:41:35

对于病毒的名字叫什么,我也不知道哦

不过你要区分pagefile.pif与pagefile.sys

这二个的区别哦

据我所知哦
第一个才是病毒哦,第二个属于虚拟内存的
页: [1] 2
查看完整版本: pagefile谁来帮我杀杀!!!!!!!!!!!!!!!!!!!!!!!!!!!