|
发表于 2006-12-13 16:24:09
|
显示全部楼层
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。 % C; ]) v+ {5 O% f+ m3 F% _; Y6 a! @$ [
7 A8 L$ V# `# j/ r) I
& P- F! j. C9 x, U
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 ) v. L) e% R' `2 p- Q4 T
7 M* A0 M; D. k. u/ H
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。 " E3 |+ N7 N0 \5 x! D1 B
. \2 i) j# W$ {& O# O/ I7 R6 i4 ]3 Q ]( E- v, e: a% E* ^
3.开始---运行---cmd(打开命令提示符)
4 _+ W+ y7 K1 v4 V1 S1 z* P2 v
T4 n( N6 c# ~. pD: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
; @5 n/ [' C% |1 l) a) V5 ?( M1 v# \7 x9 q
最后运行del autorun.inf
2 h6 T" p* W7 D1 Y A/ j$ d3 \+ l9 q- u- s( a
1 `* h! a/ x1 h( S' j8 P% r" W2 K7 ?& u% u$ j5 r4 |- x/ H. Y
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:
. H: z/ J4 g& u) P. N
$ i. l( q3 q/ O: X. Y- Q-
; R! t D3 q' g
/ O# V+ C* O5 |5 }$ g" A. j- [autorun]
9 I' N! Q7 l+ o" ^9 @& C* \ - : _' U+ \7 K3 A
- OPEN=D:\pagefile.pif ' o! R0 P+ S6 [: [/ [
. ?+ q/ I7 ]. p2 d( M
复制代码
) W2 }- Y# X( {, l7 T0 j8 ^0 f7 |
) M+ T5 L: _7 p将autorun.inf文件删除。
* y0 W; ]2 B0 D# U1 K. m1 W% y. f D% {# a9 Z j) E h. S
w8 U+ U3 o4 x5 @
5.开始---运行---regedit(打开注册表)
* k, j- T9 C( I3 M- Q7 |
5 n6 ~+ z" G% z1 L, A1 d! |- o3 Q查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。 |
|