诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 1136|回复: 27

pagefile谁来帮我杀杀!!!!!!!!!!!!!!!!!!!!!!!!!!!

[复制链接]
发表于 2006-12-13 16:13:17 | 显示全部楼层 |阅读模式
pagefile太难杀了,用了网上所有的方法,都杀不了  q9 f) R1 ?1 i4 `: M" K$ }
谁来我宿舍试试啊
/ k4 x: w1 U# w$ @! u6 {            急阿~~~~~~~~~~~~~!:'(
发表于 2006-12-13 16:18:11 | 显示全部楼层
中了Infostealer.QQRob.A这个木马,症状为不能显示系统隐藏文件,打开某一分区会提示打开方式,系统变慢。 + V# O0 T8 [$ J' {. W+ y7 M

" W* S- U6 }$ r5 g原因:Infostealer.QQRob.A病毒处理 7 L/ p7 p! o3 ^) b

# R) G! g5 U4 y; N# ]病毒症状: # Z9 _6 y& i/ k$ e2 }
9 |% E0 b0 K# X$ k0 J* S' o
双击任何一个盘符打开都不能打开,通过点击盘符右键打开才可以。 右键菜单出现auto( q  G8 T0 ~  _2 c1 M
+ ~% E. w* w! u8 M! y$ z! ^% h- ?
病毒描述:
2 q1 [/ K/ A7 [/ L4 `2 z, E! N
# t) `7 M% q1 I1. 打开任何一个硬盘分区后,诺顿都能发出警告并隔离该病毒的病毒文件:tel.xls.exe、SockSa.exe。
! [3 y1 R8 L+ f7 m( H  C$ r9 g! \- }* F. `+ _- n+ j: |% ^
2. 系统文件以及隐藏文件通过修改查看属性后不能查看。 $ }6 J' H; `8 a6 J$ e9 @6 r' ?1 N
/ y6 ?: u1 d6 _% w/ h# p1 M; @7 S
3. 病毒通过在每个磁盘分区根目录下产生一个autorun.ini文件,文件内容如下: ; h( M' R! ]/ }2 I, G2 d, B" p

$ i( p, J8 I) @* f2 U* ~open=tel.xks.exe; y4 v; H+ L: J5 c$ ~, I
…………, m) r1 T; i! d# \) @! a" `6 E

) ^5 d$ l  q3 Y2 z' c' @3 @
& L. J/ e  z. U- {6 G% i: x" y7 }4. 进程里存在kill.exe、svch0st.exe。此情况下,删除autorun.ini失败,删除后仍然会产生新的文件。安全模式下删除没有问题。
发表于 2006-12-13 16:18:30 | 显示全部楼层
4. 全盘搜索并删除tel.xls.exe、SockSa.exe、kill.exe、svch0st.exe文件,并在注册表里搜索这些文件的注册表键值并清除。 $ ]: Z7 f. A# f- m6 Y+ g
( {9 {2 q; I" o5 u' h  {
5. 删除每个磁盘分区根目录下的autorun.ini文件。 6 O* b( @" W9 r

% Y0 {! F3 x  x) h8 Z6. 修改文件夹查看属性后重启即可。
发表于 2006-12-13 16:19:50 | 显示全部楼层
我用这样删得差不多了,就差一个盘上面的了,$ F5 n5 [1 h, m  T* u/ |' g$ N
还在努力中,* w. A3 M3 G' x0 d. |
楼主也可以试一下
 楼主| 发表于 2006-12-13 16:23:31 | 显示全部楼层
不是这个毒,是msdos 的一个文件叫pagefile的还有一个autorun文件
发表于 2006-12-13 16:24:09 | 显示全部楼层
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
" a$ W; b' I/ D  q; F9 n5 G! j& g7 b. O% [( j; a9 Y
7 n; P' Y) z5 w( |% m9 i
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 0 g  p7 T2 X4 C/ \1 ~
& M: w* Q; ^. j+ ]5 _; h( z
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。 " s% o5 Q6 i" \" d1 _( Q
' w* k0 J+ B2 Z( Z
! L  S; n7 m/ w: R
3.开始---运行---cmd(打开命令提示符) 0 @8 H+ J/ l6 U
: b# ?( o7 l9 K" F  H" {) }
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
4 v' e  x6 H% [4 Z, I. F) q
$ t5 ~' L3 ^1 p; n, F" V最后运行del autorun.inf ; {1 J" p- W- |, W
( t3 T' p) n# Q+ X9 T8 d
* G$ w" c& }& s% F
% \% k$ a0 X9 d( ~+ S  e- n
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下: 0 `1 O$ T6 P, q$ c' g
+ W$ O1 s, u. n9 y0 ?! q& O5 c

  1. * v9 u3 u4 f9 H' h# C

  2. 8 j! m" c3 u5 @& V7 {: {5 c
  3. [autorun] : F5 i- E) ]+ k* p( |" h9 j
  4. - g4 y% l; O" i; |% t1 S- s
  5. OPEN=D:\pagefile.pif # C& l2 G% D: x1 u' Y4 F# M% _' l

  6. # b+ E# b, f* Q7 e
复制代码

* S1 f* n* ]/ w8 y! [; v
2 D: o  s( s  g# ?3 D将autorun.inf文件删除。 / b" z! C3 K& p) C- d5 {* m

7 i, _+ p2 w  L7 h! a& ]! L6 l* o4 @0 {! z  N
5.开始---运行---regedit(打开注册表)
8 w# `6 P* {6 X" Z' ~$ Q7 F4 V
6 z2 ?3 m3 l" |" R/ k查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。
发表于 2006-12-13 16:25:14 | 显示全部楼层
给楼主,一个更清楚的答案吧,
" G  ?% x6 N) V9 L5 v* @" w# W2 b, O6 r/ H

0 ^: v- ~$ g9 G, Q3 d6 ~6 ]那个是会造成,双击打不开硬盘
发表于 2006-12-13 16:26:21 | 显示全部楼层
我今天中午努力了一个中午,终于把电脑给搞定了,
 楼主| 发表于 2006-12-13 16:27:29 | 显示全部楼层
对,就是这个毒,好像叫落雪是吗,上面那个方法我试过,无效!
* ^" B& u  m/ [* N- ~江民的落雪专杀试过,无效!
发表于 2006-12-13 16:30:25 | 显示全部楼层
要手动哦
# [$ X% H9 J1 @# e/ \5 u6 {" b$ @& P* c5 t
.开始---运行---cmd(打开命令提示符) 9 v! L- N8 J3 h9 W7 v' q$ d

: p7 w5 a0 T, O' p; R4 k- }, I5 \D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性 ( z8 S2 r0 v. z  a7 y0 c2 [5 k

2 Z# x% x! R# l- x; d: Q4 b最后运行del autorun.inf 4 X6 d) U- a6 O& v* z+ [
/ c0 ]5 ~) i5 Z5 ]; N
这样就可以删了,autorun.inf 7 D2 a* v% X- B5 i! m

6 B- `6 }4 B) {1 z; C  h% H* T1 H努力寻找更好的方法中哦: P( u& V$ @4 n' E3 s, E

" l0 s; t/ @4 d$ I2 ?4 V7 }我D盘上还有一个pagefile.pif没有办法搞定,还在努力寻找办法中2 R4 o4 u3 @; J: `, ^% B

% ~) {# J0 G; n* w# V其它盘的都搞定了,
 楼主| 发表于 2006-12-13 16:33:12 | 显示全部楼层
试了,表面上是杀了,但再开机他还会再复制的
发表于 2006-12-13 16:33:49 | 显示全部楼层
“pagefile.sys”是页面交换文件,这个文件不能删除,不过我们可以改变其大小和存放位置:右击“我的电脑/属性”,然后在对话框的“高级”标签下单击“性能”下的“设置”按钮,在”性能选项”对话框中切换到“高级”标签下,再单击“虚拟内存”下的“更改”按钮,即可根据需要更改页面文件的大小——先选中C盘,然后选“无分页文件”,再点“设置”按钮;之后选中要生成该文件的盘符,在下面点选“自定义大小”并输入合适的数值,此数值通常为物理内存的1.5倍,再单击“设置”,最后确定,重新启动电脑,该文件就在其他分区上了。" R, Q$ ]/ q% }9 m/ i0 Z  y
2 T; G* d8 C7 F) R/ Y& t
6 w7 P9 G3 E: u$ X# t
还有刚找到了一个东西,( j( i( t+ J) }9 b
我差点忘了我的虚拟内存是放在D盘的,
发表于 2006-12-13 16:37:29 | 显示全部楼层
在把注册表中的一些
. u% Q/ z, z* D1 ^" O# ]tel.xls.exe、SockSa.exe、kill.exe、svch0st.exe键值清除。
 楼主| 发表于 2006-12-13 16:40:46 | 显示全部楼层
谢谢,我试试: y5 x& x. U( R/ L3 W/ o
本来要到社联找机协,不过每人值班.......:L
发表于 2006-12-13 16:41:35 | 显示全部楼层
对于病毒的名字叫什么,我也不知道哦* j! A) H: b4 a6 _1 J1 ]

. i4 E! T# K; j( T( l! n不过你要区分pagefile.pif与pagefile.sys3 M8 f6 Q2 B! f+ ]+ C2 E
" Z7 h6 m0 z4 n
这二个的区别哦) R* K5 U, g) \+ {
3 _/ r/ v4 C8 u" h
据我所知哦, q- i( V) n; `2 j' D3 m
第一个才是病毒哦,第二个属于虚拟内存的
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-1 09:33 , Processed in 0.050158 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表