pagefile.pif这个木马还是挺霸道的 - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>Security - 系统安全

pagefile.pif这个木马还是挺霸道的

pagefile.pif这个木马还是挺霸道的# Security - 系统安全

R*l2007-05-17 07:05

1 楼

最近频繁遇到。不知道是否算“落雪”的变种，但比落雪凶悍多了。
症状：所有逻辑分区根目录下全部被加上autorun.inf和pagefile.pif
两个文件。在system32/com/下面多了两个木马程序lsass.exe和smss.exe，
一直后台运行，无法杀掉。在startup里面加了一个~MSDOS启动程序。
机器运行爆慢，所有exe程序被锁住，运行任何exe都将启动木马进程，
双击盘符也将启动木马进程，防火墙和杀毒软件均被屏蔽。
解决方法: 重起到安全模式下，
start－>run->cmd打开command prompt窗口，
删掉每个分区下面的autorun.inf和pagefile.pif。
attrib -r -s -h autorun.inf
attrib -r -s -h pagefile.pif
del -f autorun.inf
del -f pagefile.inf
去system32/com/下面删了lsass.exe和smss.exe，去startup下面删除~MSDOS。
重起后，search最近被修改过的文件。发现所有分区的很多html/htm文

s*r2007-05-17 07:05

2 楼

赞！

【在 R*****l 的大作中提到】

: 最近频繁遇到。不知道是否算“落雪”的变种，但比落雪凶悍多了。
: 症状：所有逻辑分区根目录下全部被加上autorun.inf和pagefile.pif
: 两个文件。在system32/com/下面多了两个木马程序lsass.exe和smss.exe，
: 一直后台运行，无法杀掉。在startup里面加了一个~MSDOS启动程序。
: 机器运行爆慢，所有exe程序被锁住，运行任何exe都将启动木马进程，
: 双击盘符也将启动木马进程，防火墙和杀毒软件均被屏蔽。
: 解决方法: 重起到安全模式下，
: start－>run->cmd打开command prompt窗口，
: 删掉每个分区下面的autorun.inf和pagefile.pif。
: attrib -r -s -h autorun.inf

I*O2007-05-17 07:05

3 楼

关于pagefile.pif文件产生D盘无法正常打开的详细解决方案
死机后重启，发现D盘无法正常访问，双击后没有反映，其他盘正常。右键--打开后，
发现多出一个文件，前提：打开了显示所有文件（工具--文件夹选项--查看--显示所有
文件和文件夹选中，然后确定），文件名为“pagefile.pif”，马上查毒，没有病毒..
我用的是正版金山毒霸2006。正奇怪时发现金山网镳的任务栏图标小时了，但毒霸主程
序没有结束掉。
马上打开任务管理器，没有发现可疑进程，删除“pagefile.pif”文件，OK一下就删除
了。
再打开D盘，显示“找不到pagefile.pif，指定位置：”，马上右键打开D盘，没有找到
AutoRun.inf（小常识：我们都知道平时一些游戏光盘可以自动启动，那是因为在光盘
下有个"AutoRun"的文件，它是自动运行的一个基础文件。可是D盘里没有这个文件啊。
马上搜索pagefile.pif，结果，搜索为系统见，才恍然大悟，马上“工具--文件夹选项

I*O2007-05-17 07:05

4 楼

D盘右键第一项是自动播放,双击不能打开.
是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,
而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个
文件里动手脚，先杀病毒。其他盘正常吗？
确定无毒后打开我的电脑-工具－文件夹选项－文件类型, 找到“驱动器”,
点下方的“高级”－点选“编辑文件类型”里的“新建”－操作里填写“open”（这个
可随意填写）－用于执行操作的应用程序里填写explorer.exe－确定
应该能解决问题！
还有个方法：鼠标双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，
然后进入d盘，把autorun.inf删除，重启即可。
如果找不到autorun.inf，那么
1、开始-->运行-->cmd（打开命令提示符）
2、dir autorun.inf /a （没有参数a是看不到的，a是显示所有的意思），此时你会发
现一个autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性，否
则无法删除。

I*O2007-05-17 07:05

5 楼

还有说卡巴斯基升级到最新版本，全面扫描可以彻底清除这个病毒

【在 R*****l 的大作中提到】

R*l2007-05-17 07:05

6 楼

这个说的就是落雪。老马了。
我说的是变种，会感染所有的html/htm/ini文件，比较恶心。

盘,

【在 I***O 的大作中提到】

: D盘右键第一项是自动播放,双击不能打开.
: 是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,
: 而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个
: 文件里动手脚，先杀病毒。其他盘正常吗？
: 确定无毒后打开我的电脑-工具－文件夹选项－文件类型, 找到“驱动器”,
: 点下方的“高级”－点选“编辑文件类型”里的“新建”－操作里填写“open”（这个
: 可随意填写）－用于执行操作的应用程序里填写explorer.exe－确定
: 应该能解决问题！
: 还有个方法：鼠标双击我的电脑－工具－文件夹选项－查看－显示所有文件和文件夹，
: 然后进入d盘，把autorun.inf删除，重启即可。