发新帖

pagefile病毒专杀方法

[复制链接]
1054 1 打印 上一主题 下一主题

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
 双击D盘打不开

  现在很多病毒木马会应用到这个重复感染的方法;因为他们知道发生问题你会重新做系统或GHOST还原].但是他们在其他盘里做手脚你就不好办了哦;下面我就为你分析分析和处理几个方法:

  (根据你说的症状,应该是你的机子中了一种后门病毒:Iexplores.exe.这个后可使后门种植者通过该后门秘密控制受感染机器,这个病毒工作于Windows32平台。病毒会在硬盘的根目录生成explores.exe文件,这个文件的作用是:当你双击硬盘的盘符时,系统会调用Iexplores.exe文件自动播放硬盘的内容,作为传播病毒的一种方式。另外病毒可以通过移动存储介质进行传播(U盘,移动硬盘).大多的杀毒软件可以对其进行查杀!但是感染症状依然存在;感染症状:windows无法找到Iexplores.exe或者双击活动硬盘无法直接打开,而是出现一对话框,只能通过右键---打开才能浏览分区内容.

  解决方法:

  右键打开其中一受感染的盘符,在工具栏---文件夹选项--查看下,选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,你会发现在你的盘符下多了一antorun.inf的文件,打开我们可以看到如下的内容:

  [AUTORUN]

  open=Iexplorers.exe

  这句话的意思就是当你双击盘符时自动打开写入注册表中的病毒程序文件,即使病毒被杀死,但是注册表的信息依然存在,这就是无法打开盘符的原因,知道了原因,那么我们就来删除病毒在注册表中的残留信息,开始---运行中输入regedit打开注册表编辑程序,ctrl+f打开查找命令,输入

  Iexplorers.exe,点查找,接下来会在注册表中找到此键值.一般在

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

  \MountPoints\下.

  Forexample:如果是你的移动硬盘的盘符f盘打不开,那么你将会在

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer

  \MountPoints\F\Shell\command\下发现此键值,把shell子键删除即可.f3查找下一个,重复操作,直到所有的都清除.f5刷新,除盘符下的antorun.inf文件.问题即可解决!

  建议你安装杀毒软件和防火墙,并及时升级,及时对移动存储设备进行查杀,如感染,可以参照上面的方法恢复!另外,如果你对注册表不熟悉的请在操作前先备份注册表!!!!)

  2(解决办法引之本区。

  1、修改注册表启动项,加入(在MSCONFIG中可查到)

  c:\windows\services.exe

  此病毒文件被运行后,将修改.exe关联文件(assoc.exe看到为winfiles,正常应该为exefile),并同时生成几个固定的病毒文件,作为关联调用

  2、生成如下

  D:盘生成

  autorun.inf

  [autorun]

  OPEN=D:\pagefile.pif(作用:打开D盘时运行病毒)

  c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止

  C:\WINDOWS\ExERoute.exeEXE关联使用之一

  C:\WINDOWS\1.com启动时执行,

  C:\WINDOWS\finder.com

  C:\WINDOWS\explorer.com

  另外还有几个COM的文件,其大小都一样size:33,833

  C:\WINDOWS\system32\command.pif

  C:\WINDOWS\system32\rundll32.com

  C:\WINDOWS\system32\finder.com

  C:\WINDOWS\system32\MSCONFIG.COM

  C:\WINDOWS\system32\dxdiag.com

  C:\WINDOWS\system32\regedit.com

  C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工

  清除:

  1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:

  attrib-r-h-s*.com

  再逐个删除每个目录都这么做

  2、恢复EXE文件关联

  assoc.exe=exefile

  3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除

  1、运行cmd.exe

  cd\windows\system32
  copycmd.execmd.com

  如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com

  2、先使用木马查杀,最强的杀木马软件:Ewidov4.0最新版本下载地址:/html/virus/zhuanshagongju/20070210/1121.html

  木马全盘查杀完,请不要执行任何文件

  3、开始->运行->输入cmd.com(或者点流览,选择到c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此

  时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)

  4、此时已进入DOS下,输入assoc.exe=exefile这样就解除了EXE的文件

  5、打开msconfig.exe将services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,在DOS下手工清除,通过查看文件大小为33833的文件将其删除。

  另个补充一下解决办法,

  用KV2005就可以删除上面病毒,然后手动清掉启动的中选项。,解决病毒后,会有后遗症,第一桌面的IE不能使用了,重新指定IEploer的位置就可以了,第二,D:盘打不开,右盘选择打开,里有autorun.ini可能是隐藏的,(我的电脑,--工具--文件夹

  --显示所有文件,不隐藏系统文件。)看到这就删除掉,可以解决了。)

  如果连杀毒软件都装不了。可以这样:把你的硬盘接到朋友装有杀毒软件的电脑上进行杀毒。

  或做个DOS杀毒盘,在别的机器上做个最新版的,江民、金山、瑞星都有

  -------------------------------------------

  另外现在发现:有种QQ尾巴病毒,Win32.Troj.QQLee.ak在作祟!

  此病毒会在所有硬盘下建立一个隐藏的autorun.ini的配置文件,内容为open=system32.exe

  同样也会生成admin.bat的批处理文件,使用网络命令建立一个名为Lee的用户,密码为12345@!并将此用户提升到管理员权限。这样用户一旦双击硬盘(选右键打开或通过输入盘符打开都没事)就会自动被建立一个管理员帐户,病毒也投入使用了.

  方法:删除system32.exe及其其他生成文件,autorun.iniadmin.bat,在注册表中删除相应键值,杀毒即成功了。有的用户会发生双击硬盘提示找不到system32.exe这个是由于没有删除autorun.ini所导致的

精彩评论1

沙发
Doris  乞丐  发表于 2013-12-11 14:11:35 | 只看该作者
路过,支持一下啦
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表