电脑中了一个木马以后,还原了系统在点我的电脑里的D盘的时候或出先一个错误提示WINDOWS无法找到pegefile.PIF打开"文件"类型的文件需要该程序但是点右贱打开可以打开D盘,其他盘都正常,这是什么问题?????
參考答案:楼主不要惊慌,小CASE拉
这是完整的解决方案:
进程文件: pagefile 或 pagefile.pif
进程位置: D:\pagefile.pif
程序名称: Trojan.Psw.Lmir.Aov.4871
程序用途: 木马病毒,窃取密码,破坏系统、程序
程序作者:
系统进程: 否
后台程序: 是
使用网络: 否
硬件相关: 否
安全等级: 低
进程分析: 可能发生D盘突然双击打不开,出现个自动播放的,象光驱一样等现象。也可能是PWSteal.Wowcraft.b病毒。
解决办法
1、修改注册表启动项,加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被运行后,将修改.exe关联文件(assoc.exe看到为winfiles,正常应该为exefile),并同时生成几个固定的病毒文件,作为关联调用
2、生成如下
D:盘生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif(作用:打开D盘时运行病毒)
c:\windows目录c:\windows\services.exe作为系统进程运行无法手工终止
C:\WINDOWS\ExERoute.exeEXE关联使用之一
C:\WINDOWS\1.com启动时执行,
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外还有几个COM的文件,其大小都一样size:33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe程序出错调试调用其它目录C:\ProgramFiles\InternetExplorer\iexplore.com被关联于开始菜单的IE执行及HTM的执行C:\ProgramFiles\CommonFiles\Explorer.PIF外壳调用传染当你打开分区时,桌面有刷新状态,说明此文件被调用手工清除:
1、在DOS状态下,删除所有相关的文件,因为文件属性都为RHS,所以要先改掉属性:
attrib-r-h-s*.com
再逐个删除每个目录都这么做
2、恢复EXE文件关联
assoc.exe=exefile
3、注意一定要删除干净,只要存在一个都有可能使它执行,而重新感染如果进不了DOS的,可使用软件辅助删除
1、运行cmd.exe
cd\windows\system32\
copycmd.execmd.com
如果进入不了cmd.exe,可以直接到文件夹里将其改名为cmd.com
2、先使用木马杀客查杀,下载地址:木马杀客.rar安全工具/木马杀客.rar
木马杀客全盘查杀完,请不要执行任何文件
3、开始->运行->输入cmd.com(或者点流览,选择到c:\windows\system32目录,找到cmd.com,如果还未改为com,一定要先改才运行,因为此时病毒已将关联更改,如果看不到后缀,请到文件夹选项里开启,不隐藏已知关联的选项)
4、此时已进入DOS下,输入assoc.exe=exefile这样就解除了EXE的文件
5、打开msconfig.exe将services的启动去除,即可。如果还是传染病毒,说明某些文件未清除,笔者是在DOS下手工清除的,通过查看文件大小为33833的文件将其删除。
