诚毅小家|集美大学生活【集美大学,诚毅学院,水产学院,师范学院,美术学院,财经学院,体育学院,航海学院,集美学村,石鼓路,龙舟池】

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 1144|回复: 27

pagefile谁来帮我杀杀!!!!!!!!!!!!!!!!!!!!!!!!!!!

[复制链接]
发表于 2006-12-13 16:13:17 | 显示全部楼层 |阅读模式
pagefile太难杀了,用了网上所有的方法,都杀不了% ?. g7 B3 N% L7 D5 o+ s! L
谁来我宿舍试试啊
8 y  l) Y$ Z9 n            急阿~~~~~~~~~~~~~!:'(
发表于 2006-12-13 16:18:11 | 显示全部楼层
中了Infostealer.QQRob.A这个木马,症状为不能显示系统隐藏文件,打开某一分区会提示打开方式,系统变慢。
5 R$ H; c1 S4 h1 _
# {1 I6 z# c5 j/ a8 ]* A; B8 l; @原因:Infostealer.QQRob.A病毒处理
* V/ B* b% M! D* a0 Y
, A1 y' G$ E/ s& }8 _" y- m* K9 G病毒症状:
! i7 `9 B: n" N' w( B, n$ ?% r6 p" o
双击任何一个盘符打开都不能打开,通过点击盘符右键打开才可以。 右键菜单出现auto
3 ^0 h3 C/ A3 S- c3 [3 m1 P/ E7 k( J# U' L1 \
病毒描述:
6 b1 `4 {% D" F+ @
  E0 k: M+ }  \1. 打开任何一个硬盘分区后,诺顿都能发出警告并隔离该病毒的病毒文件:tel.xls.exe、SockSa.exe。
9 b1 d+ [+ ]3 t: z7 |8 m+ F: |3 p7 Q3 H. i' M
2. 系统文件以及隐藏文件通过修改查看属性后不能查看。 9 c7 R# i3 b" H& |- o5 V; f8 m- m
5 M* A! b+ c, m; x& i. C1 \
3. 病毒通过在每个磁盘分区根目录下产生一个autorun.ini文件,文件内容如下: 8 ?7 X  \0 M3 `0 y7 T$ b

7 @. K8 }* I2 A: f5 e0 P) d; d9 bopen=tel.xks.exe; p5 `% X* T) Z/ Q! k4 N1 f6 B
…………$ q3 L9 U  H0 l  D9 M5 l
$ u/ m# t" x' }( q, p* F- t1 q

( ]4 h- }1 F. u8 t# U' a5 s/ X4. 进程里存在kill.exe、svch0st.exe。此情况下,删除autorun.ini失败,删除后仍然会产生新的文件。安全模式下删除没有问题。
发表于 2006-12-13 16:18:30 | 显示全部楼层
4. 全盘搜索并删除tel.xls.exe、SockSa.exe、kill.exe、svch0st.exe文件,并在注册表里搜索这些文件的注册表键值并清除。 5 t+ y7 H: w! x& s, H- P3 l7 j

7 A" [" m3 J' b4 [  k- p& m5. 删除每个磁盘分区根目录下的autorun.ini文件。
2 w! Q$ _  L% ?/ `! a! k6 i" a* n; k- q; N2 O- p2 D1 n4 I
6. 修改文件夹查看属性后重启即可。
发表于 2006-12-13 16:19:50 | 显示全部楼层
我用这样删得差不多了,就差一个盘上面的了,
& @! P, A7 W' l2 t9 Y1 o9 j还在努力中,
) n5 A. z/ ~2 d. e" c, [% w楼主也可以试一下
 楼主| 发表于 2006-12-13 16:23:31 | 显示全部楼层
不是这个毒,是msdos 的一个文件叫pagefile的还有一个autorun文件
发表于 2006-12-13 16:24:09 | 显示全部楼层
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。 % C; ]) v+ {5 O% f+ m3 F% _; Y6 a! @$ [
7 A8 L$ V# `# j/ r) I
& P- F! j. C9 x, U
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 ) v. L) e% R' `2 p- Q4 T
7 M* A0 M; D. k. u/ H
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。 " E3 |+ N7 N0 \5 x! D1 B

. \2 i) j# W$ {& O# O/ I7 R6 i4 ]3 Q  ]( E- v, e: a% E* ^
3.开始---运行---cmd(打开命令提示符)
4 _+ W+ y7 K1 v4 V1 S1 z* P2 v
  T4 n( N6 c# ~. pD: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
; @5 n/ [' C% |1 l) a) V5 ?( M1 v# \7 x9 q
最后运行del autorun.inf
2 h6 T" p* W7 D1 Y  A/ j$ d3 \+ l9 q- u- s( a

1 `* h! a/ x1 h( S' j8 P% r" W2 K7 ?& u% u$ j5 r4 |- x/ H. Y
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:
. H: z/ J4 g& u) P. N
$ i. l( q3 q/ O: X. Y- Q

  1. ; R! t  D3 q' g

  2. / O# V+ C* O5 |5 }$ g" A. j
  3. [autorun]
    9 I' N! Q7 l+ o" ^9 @& C* \
  4. : _' U+ \7 K3 A
  5. OPEN=D:\pagefile.pif ' o! R0 P+ S6 [: [/ [

  6. . ?+ q/ I7 ]. p2 d( M
复制代码

) W2 }- Y# X( {, l7 T0 j8 ^0 f7 |
) M+ T5 L: _7 p将autorun.inf文件删除。
* y0 W; ]2 B0 D# U1 K. m1 W% y. f  D% {# a9 Z  j) E  h. S
  w8 U+ U3 o4 x5 @
5.开始---运行---regedit(打开注册表)
* k, j- T9 C( I3 M- Q7 |
5 n6 ~+ z" G% z1 L, A1 d! |- o3 Q查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。
发表于 2006-12-13 16:25:14 | 显示全部楼层
给楼主,一个更清楚的答案吧,
# n- e: z- ]* n' y1 Q" Z5 {4 w( e& d2 r- X

% M: ^( w: n+ v! ?那个是会造成,双击打不开硬盘
发表于 2006-12-13 16:26:21 | 显示全部楼层
我今天中午努力了一个中午,终于把电脑给搞定了,
 楼主| 发表于 2006-12-13 16:27:29 | 显示全部楼层
对,就是这个毒,好像叫落雪是吗,上面那个方法我试过,无效!3 F, X$ j" N  K
江民的落雪专杀试过,无效!
发表于 2006-12-13 16:30:25 | 显示全部楼层
要手动哦8 h! D$ x# p, B$ X) b
+ R& f1 K9 ]1 W
.开始---运行---cmd(打开命令提示符) ' J! P7 g6 T& c' h
4 p7 ?8 G+ K! f$ F7 q
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
' Y* F1 b- x, v
" I4 @" |% {; Y最后运行del autorun.inf . G! j/ }4 _+ u2 ~

& [) M' N9 i2 N# J$ }0 h这样就可以删了,autorun.inf
. g( E* U& w) J; B) m3 {" _( }# _. P$ ^, O# C/ n( g
努力寻找更好的方法中哦, u+ V! w# x6 {7 `# `
1 t& r7 P6 _! ?9 e  m% a1 X# c5 G( f
我D盘上还有一个pagefile.pif没有办法搞定,还在努力寻找办法中# c" z5 k" _7 E- [2 C- X+ L' j2 U
1 E3 z7 b: [, t& U
其它盘的都搞定了,
 楼主| 发表于 2006-12-13 16:33:12 | 显示全部楼层
试了,表面上是杀了,但再开机他还会再复制的
发表于 2006-12-13 16:33:49 | 显示全部楼层
“pagefile.sys”是页面交换文件,这个文件不能删除,不过我们可以改变其大小和存放位置:右击“我的电脑/属性”,然后在对话框的“高级”标签下单击“性能”下的“设置”按钮,在”性能选项”对话框中切换到“高级”标签下,再单击“虚拟内存”下的“更改”按钮,即可根据需要更改页面文件的大小——先选中C盘,然后选“无分页文件”,再点“设置”按钮;之后选中要生成该文件的盘符,在下面点选“自定义大小”并输入合适的数值,此数值通常为物理内存的1.5倍,再单击“设置”,最后确定,重新启动电脑,该文件就在其他分区上了。
" P$ y3 k* p6 G" P* \
7 n& e6 c! b3 ^. y: Y, F' J) T) L2 G- C  h; j
还有刚找到了一个东西,
9 j( r) o7 \- t/ @我差点忘了我的虚拟内存是放在D盘的,
发表于 2006-12-13 16:37:29 | 显示全部楼层
在把注册表中的一些
4 w6 E, H5 F$ U$ t* N) R* N% d8 Itel.xls.exe、SockSa.exe、kill.exe、svch0st.exe键值清除。
 楼主| 发表于 2006-12-13 16:40:46 | 显示全部楼层
谢谢,我试试
: w7 l# n& q4 {  w* E本来要到社联找机协,不过每人值班.......:L
发表于 2006-12-13 16:41:35 | 显示全部楼层
对于病毒的名字叫什么,我也不知道哦1 D8 J+ Q2 j) N, @7 \

+ m: _+ v8 q2 a5 H% w9 g3 ~不过你要区分pagefile.pif与pagefile.sys
0 l" h3 F* f9 n4 z0 f* t% @' ?2 p& p; d
这二个的区别哦8 M, R( F/ N4 q9 x( ?- @9 p
+ C+ x; A/ \' R# F* Y" N# G- V
据我所知哦; [' p; R5 J; O$ S( |9 m% @
第一个才是病毒哦,第二个属于虚拟内存的
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|诚毅小家 ( 小家社区工作室 闽ICP备05007965号 )

GMT+8, 2024-11-21 22:11 , Processed in 0.053104 second(s), 23 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表