|
发表于 2006-12-13 16:24:09
|
显示全部楼层
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
" a$ W; b' I/ D q; F9 n5 G! j& g7 b. O% [( j; a9 Y
7 n; P' Y) z5 w( |% m9 i
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 0 g p7 T2 X4 C/ \1 ~
& M: w* Q; ^. j+ ]5 _; h( z
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。 " s% o5 Q6 i" \" d1 _( Q
' w* k0 J+ B2 Z( Z
! L S; n7 m/ w: R
3.开始---运行---cmd(打开命令提示符) 0 @8 H+ J/ l6 U
: b# ?( o7 l9 K" F H" {) }
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
4 v' e x6 H% [4 Z, I. F) q
$ t5 ~' L3 ^1 p; n, F" V最后运行del autorun.inf ; {1 J" p- W- |, W
( t3 T' p) n# Q+ X9 T8 d
* G$ w" c& }& s% F
% \% k$ a0 X9 d( ~+ S e- n
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下: 0 `1 O$ T6 P, q$ c' g
+ W$ O1 s, u. n9 y0 ?! q& O5 c
-
* v9 u3 u4 f9 H' h# C
8 j! m" c3 u5 @& V7 {: {5 c- [autorun] : F5 i- E) ]+ k* p( |" h9 j
- - g4 y% l; O" i; |% t1 S- s
- OPEN=D:\pagefile.pif # C& l2 G% D: x1 u' Y4 F# M% _' l
# b+ E# b, f* Q7 e
复制代码
* S1 f* n* ]/ w8 y! [; v
2 D: o s( s g# ?3 D将autorun.inf文件删除。 / b" z! C3 K& p) C- d5 {* m
7 i, _+ p2 w L7 h! a& ]! L6 l* o4 @0 {! z N
5.开始---运行---regedit(打开注册表)
8 w# `6 P* {6 X" Z' ~$ Q7 F4 V
6 z2 ?3 m3 l" |" R/ k查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。 |
|