Simonepagefil.pif是什么病毒?
的有关信息介绍如下:
病毒中文名叫:“落雪” 病毒发作症状: 1:病毒发作的时候无法双击打开D盘,D盘变成了自动播放,只能靠右键选择"打开" 2:D盘生成2个文件,pagefile.pif; 以及autorun.inf(这个是隐藏文件),打开autorun.inf文件,发现里面运行的是 OPEN=D:\pagefile.pif 3:注册表里出现这个HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3- 102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command 以及 HKEY_USERS\S-1-5-21-1123561945-854245398 -1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a- 806d6172696f}\Shell\AutoRun\command,里面启动的就是D:\pagefile.pif 4:C盘windows目录下生成1.com等文件 5:msconfig启动项无法打开(注册表可以打开) 6:杀毒软件无法运行,木马克星无法运行 7:进程里出现另一个winlogon.exe 8:点击Windows窗口左下脚"开始",上方的IE图标无法显示,下面多了个易趣的图标并且链接指向某个网址(出于安全问题,这 个网址我不能公开,可能是病毒的网址) 9:hijackthis这个方法,当时已经把进程里的病毒进程"C:\WINDOWS\WINLOGON.EXE"删掉了,但5秒钟后我重新启动hijackthis 扫描的时候,这个进程又出现了。也就是说,它当时还关联了其他病毒程序,并且那个程序并没有在hijackthis扫描出来的 列表里出现。此外,注册表和C:\WINDOWS\的目录里均没有WINLOGON.EXE这个程序。 手杀“落雪”: 1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。 2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 这时候也可以用另外 一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大 概总共能找到4个左右病毒的MS-DOS相关文件(包pagefile.pif),日期和大小都差不多的,删除之。 3.开始---运行---cmd(打开命令提示符)D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性最后运行delautorun.inf 4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:[autorun] OPEN=D:\pagefile.pif将autorun.inf文件删除。 5.开始---运行---regedit(打开注册表)查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。
