pagefile.pif文件產(chǎn)生D盤無(wú)法正常打開的詳細(xì)解決方案
最近在瀏覽一網(wǎng)站的webshell時(shí)，不慎中毒。
死機(jī)后重啟，發(fā)現(xiàn)D盤無(wú)法正常訪問(wèn)，雙擊后沒(méi)有反映，其他盤正常。右鍵--打開后，發(fā)現(xiàn)多出一個(gè)文件，前提：打開了顯示所有文件（工具--文件夾選項(xiàng)--查看--顯示所有文件和文件夾選中，然后確定），文件名為“pagefile.pif”，馬上查毒，沒(méi)有病毒..我用的是正版金山毒霸2006。正奇怪時(shí)發(fā)現(xiàn)金山網(wǎng)鑣的任務(wù)欄圖標(biāo)小時(shí)了，但毒霸主程序沒(méi)有結(jié)束掉。馬上打開任務(wù)管理器，沒(méi)有發(fā)現(xiàn)可疑進(jìn)程，刪除“pagefile.pif”文件，OK一下就刪除了。再打開D盤，顯示“找不到pagefile.pif，指定位置：”，馬上右鍵打開D盤，沒(méi)有找到AutoRun.inf（小常識(shí)：我們都知道平時(shí)一些游戲光盤可以自動(dòng)啟動(dòng)，那是因?yàn)樵诠獗P下有個(gè)"AutoRun"的文件，它是自動(dòng)運(yùn)行的一個(gè)基礎(chǔ)文件?？墒荄盤里沒(méi)有這個(gè)文件啊。馬上搜索pagefile.pif，結(jié)果，搜索為系統(tǒng)見，才恍然大悟，馬上“工具--文件夾選項(xiàng)--查看--去掉“隱藏受保護(hù)的操作系統(tǒng)文件”然后確定”，OK，多出一個(gè)Auturun文件，我們知道有系統(tǒng)屬性的文件是無(wú)法直接刪除的，我們要剔除它的系統(tǒng)屬性，打開CMD(開始--運(yùn)行--CMD.exe)，輸入：attrib D:\autorun.inf -s -h -r回車，然后直接刪除文件。

OK基本工作已經(jīng)完成，然后我想換個(gè)殺毒軟件試試能不能掃到病毒，剛打開IE就發(fā)現(xiàn)D盤那兩個(gè)文件又出來(lái)了！OK綁定了exe文件，恢復(fù)exe文件關(guān)聯(lián)，在CMD下輸入assoc.exe=exefile，回車。這時(shí)，恢復(fù)了文件關(guān)聯(lián)。下載木馬克星，暈！被殺，用瑞星在線殺毒（[url]www.3721.com[/url] 不是 [url]www.rising.com.cn)[/url]，全面掃描C,D兩盤，殺掉病毒，然后刪除兩個(gè)D盤的文件，最后恢復(fù)下exe文件關(guān)聯(lián)，在注冊(cè)表里然后刪除相關(guān)注冊(cè)表鍵值：進(jìn)入注冊(cè)表以后，展開HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell，刪除shell下的autorun鍵值，刷新以后，此時(shí)就應(yīng)該可以打開盤符了。
可能有多個(gè)!!

OK全部檢查下，保證D盤里沒(méi)有文件存在，exe文件關(guān)聯(lián)正確，注冊(cè)表里沒(méi)有啟動(dòng)項(xiàng)。

重啟OK！

一個(gè)病毒就這么解決了。如果它還啟動(dòng)，請(qǐng)使用工具清除掉Trojan Program 的開機(jī)啟動(dòng)。就OK了！

后來(lái)經(jīng)搜索整理，搜索到網(wǎng)上流傳著下面的清除方法，本人未經(jīng)測(cè)試，請(qǐng)各位自行斟辨。

一、 Trojan.PSW.Lmir.iux
這個(gè)壞家伙，不知道誰(shuí)在我電腦上上了，把這個(gè)壞家伙給引來(lái)了，起初我還不知道，我一看怎么電腦越來(lái)越慢了呀。看了下進(jìn)程，怎么C:\WINDOWS\services.exe有這個(gè)鳥東西呀。就知道中馬了，然后就刪呀刪，沒(méi)想到這家伙關(guān)聯(lián)了這么多文件，而且還關(guān)聯(lián)了IE。
昨天還浪費(fèi)了我點(diǎn)時(shí)間，諾頓查不了這個(gè)家伙暈死了，然后拉出可怕的瑞星在線殺毒，查出一共有N個(gè)文件，昨天就是不知道一共有幾個(gè)文件，所以怎么清也清不干凈呢。

沒(méi)想到這家伙還有蠻多個(gè)的呀。 寫了個(gè)BAT把它給K了。

@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...

@echo off
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\services.exe
attrib -s -r -a -h c:\windows\explorer.com
attrib -s -r -a -h c:\windows\finder.com
attrib -s -r -a -h c:\windows\exeroute.exe

attrib -s -r -a -h c:\windows\debug\debugprogram.exe

attrib -s -r -a -h c:\windows\system32\regedit.com
attrib -s -r -a -h c:\windows\system32\dxdiag.com
attrib -s -r -a -h c:\windows\system32\msconfig.com
attrib -s -r -a -h c:\windows\system32\command.pif



attrib -s -r -a -h c:\windows\system32\finder.com
attrib -s -r -a -h c:\windows\system32\rundll32.com
attrib -s -r -a -h c:\windows\system32\i.com

attrib -s -r -a -h c:\progra~1\common~1\iexplore.pif
attrib -s -r -a -h c:\progra~1\intern~1\iexplore.com

attrib -s -r -a -h d:\pagefile.pif
rem ===============================================
@echo Execute DELETE...

@echo off
del c:\windows\1.com
del c:\windows\services.exe
del c:\windows\explorer.com
del c:\windows\finder.com
del c:\windows\exeroute.exe

del c:\windows\debug\debugprogram.exe

del c:\windows\system32\regedit.com
del c:\windows\system32\dxdiag.com
del c:\windows\system32\msconfig.com
del c:\windows\system32\command.pif
del c:\windows\system32\finder.com
del c:\windows\system32\rundll32.com
del c:\windows\system32\i.com

del c:\progra~1\common~1\iexplore.pif
del c:\progra~1\intern~1\iexplore.com

del d:\pagefile.pif

@echo ===============================================
@echo End...
@echo ===============================================

重啟之后。Exe關(guān)聯(lián)出錯(cuò)，命令行安全模式下執(zhí)行assoc .exe=exefile 再重啟，搞定。

好了，不用再想著這個(gè)家伙了。呵呵。

注：這個(gè)病毒命是瑞星報(bào)的哦。別的殺軟不一定一樣的哦。我發(fā)現(xiàn)在的幾點(diǎn)寫下：
一、啟動(dòng)項(xiàng)中多出一個(gè)Shell 參數(shù)為 Explorer.exe 1 多了一個(gè)1，正常的沒(méi)有1。
二、Run、Runonce鍵值中多出了一個(gè)Trojan Program，程序文件位于c:\windows\services.exe。
三、在D盤中寫入一個(gè)Autorun.inf文件，Open的參數(shù)為pagefile.pif。這家伙很壞，一打開D盤也是啟動(dòng)這個(gè)壞家伙，還有在taskmgr.exe中結(jié)束不了services.exe這個(gè)進(jìn)程，我是用冰刃結(jié)掉，然后刪除掉的。

別的暫時(shí)也沒(méi)想出什么，不知道這個(gè)家伙是盜什么的，好像是傳奇世界的馬吧，不太清楚。

?

二、這幾天機(jī)子很慢,我用的是2000系統(tǒng),在進(jìn)行里發(fā)現(xiàn)老是瑞星在占用CPU,可是我根本沒(méi)有殺毒,而且現(xiàn)在開機(jī)后瑞星不能自行啟動(dòng)了,而且也不能手動(dòng)啟動(dòng),也不能升級(jí),好象是被控制了,我在D盤里找到一個(gè)文件,pagefile.pif的快捷方式很不尋常,是MSDOS的圖標(biāo),還有那個(gè)autorun.inf就是指向這個(gè)文件的,可是我把它刪除重啟后還是有,在安全模式下刪除也不行,開機(jī)后還是有,我在硬盤里找不到pagefile.pif源文件,真是怪了

大家看看我這個(gè)是什么問(wèn)題?

解決辦法引之本區(qū)。
1、修改注冊(cè)表啟動(dòng)項(xiàng)，加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病毒文件被運(yùn)行后，將修改.exe關(guān)聯(lián)文件（assoc.exe看到為winfiles，正常應(yīng)該為exefile），并同時(shí)生成幾個(gè)固定的病毒文件，作為關(guān)聯(lián)調(diào)用
2、生成如下
D:盤生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif（作用：打開D盤時(shí)運(yùn)行病毒）
c:\windows目錄c:\windows\services.exe作為系統(tǒng)進(jìn)程運(yùn)行無(wú)法手工終止
C:\WINDOWS\ExERoute.exeEXE關(guān)聯(lián)使用之一
C:\WINDOWS\1.com啟動(dòng)時(shí)執(zhí)行，
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外還有幾個(gè)COM的文件，其大小都一樣size:33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe程序出錯(cuò)調(diào)試調(diào)用其它目錄C:\ProgramFiles\InternetExplorer\iexplore.com被關(guān)聯(lián)于開始菜單的IE執(zhí)行及HTM的執(zhí)行C:\ProgramFiles\CommonFiles\Explorer.PIF外殼調(diào)用傳染當(dāng)你打開分區(qū)時(shí)，桌面有刷新狀態(tài)，說(shuō)明此文件被調(diào)用手工清除：
1、在DOS狀態(tài)下，刪除所有相關(guān)的文件，因?yàn)槲募傩远紴镽HS，所以要先改掉屬性：



attrib-r-h-s*.com
再逐個(gè)刪除每個(gè)目錄都這么做
2、恢復(fù)EXE文件關(guān)聯(lián)
assoc.exe=exefile
3、注意一定要?jiǎng)h除干凈，只要存在一個(gè)都有可能使它執(zhí)行，而重新感染如果進(jìn)不了DOS的，可使用軟件輔助刪除

1、運(yùn)行cmd.exe
cd\windows\system32\
copycmd.execmd.com
如果進(jìn)入不了cmd.exe,可以直接到文件夾里將其改名為cmd.com

2、先使用木馬殺客查殺，下載地址：木馬殺客.rarhttp://down.fzii.com/安全工具/木馬殺客.rar
木馬殺客全盤查殺完，請(qǐng)不要執(zhí)行任何文件

3、開始->運(yùn)行->輸入cmd.com(或者點(diǎn)流覽，選擇到c:\windows\system32目錄，找到cmd.com,如果還未改為com，一定要先改才運(yùn)行，因?yàn)榇藭r(shí)病毒已將關(guān)聯(lián)更改，如果看不到后綴，請(qǐng)到文件夾選項(xiàng)里開啟，不隱藏已知關(guān)聯(lián)的選項(xiàng))

4、此時(shí)已進(jìn)入DOS下，輸入assoc.exe=exefile這樣就解除了EXE的文件

5、打開msconfig.exe將services的啟動(dòng)去除，即可。如果還是傳染病毒，說(shuō)明某些文件未清除，筆者是在DOS下手工清除的，通過(guò)查看文件大小為33833的文件將其刪除。
另個(gè)補(bǔ)充一下我的解決辦法，用KV2005就可以刪除上面病毒，然后手動(dòng)清掉啟動(dòng)的中選項(xiàng)。，解決病毒后，會(huì)有后遺癥，第一桌面的IE不能使用了，重新指定IEploer的位置就可以了，第二，D：盤打不開，右盤選擇打開，里有autorun.ini可能是隱藏的，（我的電腦，－－工具－－文件夾－－顯示所有文件，不隱藏系統(tǒng)文件。）看到這就刪除掉，可以解決了。


三、

解決辦法引之本區(qū)。
1、修改注冊(cè)表啟動(dòng)項(xiàng)，加入(在MSCONFIG中可查到)
c:\windows\services.exe
此病疚募輝誦瀉?，将修?exe關(guān)聯(lián)文件（assoc .exe 看到為 winfiles，正常應(yīng)該為 exefile），并同時(shí)生成幾個(gè)固定的病毒文件，作為關(guān)聯(lián)調(diào)用
2、生成如下
D:盤生成
autorun.inf
[autorun]
OPEN=D:\pagefile.pif （作用：打開D盤時(shí)運(yùn)行病毒）
c:\windows目錄 c:\windows\services.exe 作為系統(tǒng)進(jìn)程運(yùn)行無(wú)法手工終止
C:\WINDOWS\ExERoute.exe EXE關(guān)聯(lián)使用之一
C:\WINDOWS\1.com 啟動(dòng)時(shí)執(zhí)行，
C:\WINDOWS\finder.com
C:\WINDOWS\explorer.com
另外還有幾個(gè)COM的文件，其大小都一樣size: 33,833
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe 程序出錯(cuò)調(diào)試調(diào)用其它目錄 C:\Program Files\Internet Explorer\iexplore.com 被關(guān)聯(lián)于開始菜單的IE執(zhí)行及HTM的執(zhí)行 C:\Program Files\Common Files\Explorer.PIF 外殼調(diào)用傳染當(dāng)你打開分區(qū)時(shí)，桌面有刷新狀態(tài)，說(shuō)明此文件被調(diào)用手工清除：
1、在DOS狀態(tài)下，刪除所有相關(guān)的文件，因?yàn)槲募傩远紴镽HS，所以要先改掉屬性：
attrib -r -h -s *.com
再逐個(gè)刪除每個(gè)目錄都這么做
2、恢復(fù)EXE文件關(guān)聯(lián)
assoc .exe=exefile
3、注意一定要?jiǎng)h除干凈，只要存在一個(gè)都有可能使它執(zhí)行，而重新感染如果進(jìn)不了DOS的，可使用軟件輔助刪除


1、運(yùn)行cmd.exe
cd\windows\system32\
copy cmd.exe cmd.com
如果進(jìn)入不了cmd.exe,可以直接到文件夾里將其改名為cmd.com


2、先使用木馬殺客查殺，下載地址：木馬殺客.rar [url]http://down.fzii.com/[/url]安全工具/木馬殺客.rar
木馬殺客全盤查殺完，請(qǐng)不要執(zhí)行任何文件


3、開始->運(yùn)行->輸入cmd.com (或者點(diǎn)流覽，選擇到 c:\windows\system32目錄，找到cmd.com,如果還未改為com，一定要先改才運(yùn)行，因?yàn)榇藭r(shí)病毒已將關(guān)聯(lián)更改，如果看不到后綴，請(qǐng)到文件夾選項(xiàng)里開啟，不隱藏已知關(guān)聯(lián)的選項(xiàng))


4、此時(shí)已進(jìn)入DOS下，輸入 assoc .exe=exefile 這樣就解除了EXE的文件


5、打開msconfig.exe 將 services的啟動(dòng)去除，即可。如果還是傳染病毒，說(shuō)明某些文件未清除，筆者是在DOS下手工清除的，通過(guò)查看文件大小為33833的文件將其刪除。

?

?

另個(gè)補(bǔ)充一下我的解決辦法，用KV2005就可以刪除上面病毒，然后手動(dòng)清掉啟動(dòng)的中選項(xiàng)。，解決病毒后，會(huì)有后遺癥，第一桌面的IE不能使用了，重新指定IEploer的位置就可以了，第二，D：盤打不開，右盤選擇打開，里有autorun.ini可能是隱藏的，（我的電腦，－－工具－－文件夾－－顯示所有文件，不隱藏系統(tǒng)文件。）看到這就刪除掉，可以解決了。