完全搞定pagefile.pif(ExERoute木马)病毒

本文提供了一种针对ExERoute木马(Trojan.PSW.Lmir.iux)的手动清除方法,包括杀毒、恢复exe关联、修复注册表、恢复右键菜单功能及桌面IE等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

完全搞定pagefile.pif(ExERoute木马)病毒

 
作者: cywater2000
日期: 2006-8-5

来自:http://blog.youkuaiyun.com/cywater2000

 
由于快 2 年没中过毒了,所以最近我偷了一下懒,好几天没更新病毒库,并且下调了安全级别。结果一更新就发现中毒了,杀掉之后发现所有的 exe 文件不能执行,靠!
上网查了一下才发现中的是 pagefile.pif 病毒,又被称为 ExERoute 木马 ( 专业代码: Trojan.PSW.Lmir.iux ) 。于是花了一些时间研究恢复方法:
 
主要分五步:
 
1.  杀毒。
可以用软件,也可以手动。
下面是卡巴杀掉的结果:
如果手动的话,可以使用下面的批处理 bat 文件: ( 详情可参考引用 [1])
 
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
 
@echo off
attrib -s -r -a -h c:/windows/1.com
attrib -s -r -a -h c:/windows/services.exe
attrib -s -r -a -h c:/windows/explorer.com
attrib -s -r -a -h c:/windows/finder.com
attrib -s -r -a -h c:/windows/exeroute.exe
 
attrib -s -r -a -h c:/windows/debug/debugprogram.exe
 
attrib -s -r -a -h c:/windows/system32/regedit.com
attrib -s -r -a -h c:/windows/system32/dxdiag.com
attrib -s -r -a -h c:/windows/system32/msconfig.com
attrib -s -r -a -h c:/windows/system32/command.pif
 
attrib -s -r -a -h c:/windows/system32/finder.com
attrib -s -r -a -h c:/windows/system32/rundll32.com
attrib -s -r -a -h c:/windows/system32/i.com
 
attrib -s -r -a -h c:/progra~1/common~1/iexplore.pif
attrib -s -r -a -h c:/progra~1/intern~1/iexplore.com
 
attrib -s -r -a -h d:/pagefile.pif
rem ===============================================
@echo Execute DELETE...
 
@echo off
del c:/windows/1.com
del c:/windows/services.exe
del c:/windows/explorer.com
del c:/windows/finder.com
del c:/windows/exeroute.exe
 
del c:/windows/debug/debugprogram.exe
 
del c:/windows/system32/regedit.com
del c:/windows/system32/dxdiag.com
del c:/windows/system32/msconfig.com
del c:/windows/system32/command.pif
del c:/windows/system32/finder.com
del c:/windows/system32/rundll32.com
del c:/windows/system32/i.com
 
del c:/progra~1/common~1/iexplore.pif
del c:/progra~1/intern~1/iexplore.com
 
del d:/pagefile.pif
 
@pause
 
@echo ===============================================
@echo End...
@echo ===============================================
 
另外,如果是手动杀的,要使用专业软件杀掉进程: %Windows%/services.exe %Windows%/winlogo.exe ( 注意不要搞错了,不是 system32 目录下的,那些是正常的系统程序 ) ,推荐使用冰刃 IceSword1.18 ( 注意使用的时候把后缀 exe 改成 com)
 
 
2. 回复 exe 关联
由于病毒破坏了 exe 关联,所以无法使用 MSDOS(cmd.exe) ,你可以把 cmd.exe 改成 cmd.com 再运行,当然,用 bat 文件更方便。
执行命令: assoc .exe=exefile
( 注意“ assoc ”是命令,而“ .exe=exefile ”是参数,所以中间要有空格 )
 
 
3. 注册表操作
(1) 打开注册表编辑器,依此分别查找“ rundll32.com ”、“ finder.com ”、“ command.pif ”,把找到的内容里面的“ rundll32.com ”、“ finder.com ”、“ command.pif ”分别改为“ Rundll32.exe
 
(2) 查找“ iexplore.com ”的信息,把找到的内容里面的“ iexplore.com ”改为“ iexplore.exe
 
(3) 查找“ explorer.com ”的信息,把找到的内容里面的“ explorer.com ”改为“ explorer.exe
 
(4) 查找“ iexplore.pif ”,应该能找到类似“ %ProgramFiles%/Common Files/iexplore.pif ”的信息,把这内容改为“ C:/Program Files/Internet Explorer/iexplore.exe ”。
 
(5) 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT/winfiles]
 
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/services.exe"
 
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
"Torjan Program"="%Windows%/services.exe"
 
6 )修改
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
 
 
完事了吗?不一定哟 ~~~
 
 
4. 回复右键菜单的:打开方式 -- 选择程序
你右键点击某个文件,然后选:“打开方式 -- 选择程序”,如果此功能无法使用,通过以下 reg 文件回复:
 
Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT/Unknown]
"AlwaysShowExt"=""
"QueryClassStore"=""
 
[HKEY_CLASSES_ROOT/Unknown/shell]
@="openas"
 
[HKEY_CLASSES_ROOT/Unknown/shell/openas]
 
[HKEY_CLASSES_ROOT/Unknown/shell/openas/command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,/
6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,00,53,/
00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,/
79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,/
00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,4f,00,70,00,65,00,6e,00,41,00,/
73,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,20,00,25,00,31,00,00,00
 
 
5 .回复桌面的 IE
如果你桌面的 IE 或“我的电脑”等点击之后不能正常访问,使用下面的 bat 文件回复:
 
regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 "C:/Program Files/Common Files/System/Ole DB/Oledb32.dll"
regsvr32 "C:/Program Files/Common Files/System/Ado/Msado15.dll"
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll
 
 
总结:
我的习惯是一年重装一次系统,本来这次想重装省事的,不过还是决定应该试一下看看能不能搞定,毕竟接触 PC 这么长时间,有事就重装也太面了吧
啊哈哈哈哈 ~~~
目前一切 OK
 
PS :上面的第 2 步和第 3 步有可能需要换一下次序 ( 因此要先将注册表操作程序 regedit.exe 改成 regedit.com)
 
 
参考资料:
[1] pagefile.pif 病毒解决方案 ,
 
[2] 如何删除 ExERoute 木马文件 ,  
 
[3] 打开方式 "--" 选择程序 " 被拒绝访问 的解决方法 ,
 
[4] Windows 系统“无法打开”故障解决方法 ,
 
[5] 最近碰到的最烦人的病毒 ,
### 如何查看和管理 Windows Pagefile.sys 文件 #### 查看 Pagefile.sys 文件的位置与大小 Pagefile.sys文件作为Windows系统的一部分,默认情况下被隐藏,因此需要通过特定设置来显示其存在并了解其属性。要查看此文件及其配置详情: 1. 打开“控制面板”,选择“系统和安全”,再点击进入“系统”。在左侧菜单中,单击“高级系统设置”。 2. 在弹出的“系统属性”窗口里切换到“高级”选项卡,在性能区域点击“设置”按钮。 3. 进入“性能选项”的新对话框后转至“高级”标签页下,可以看到关于虚拟内存的部分以及当前使用的分页文件(即pagefile.sys)的信息[^1]。 #### 调整 Pagefile.sys 的参数 对于希望优化计算机性能或释放更多硬盘空间的人来说,合理调整pagefile.sys的相关参数是非常重要的。具体操作如下所示: - 同样是在上述提到的“性能选项”界面内,“更改”按钮可以用来修改pagefile.sys的具体设定。 - 取消勾选“自动管理所有驱动器的分页文件大小”,以便手动指定各个磁盘上的pagefile.sys容量范围;可以选择自定义初始大小和最大值,或者完全禁用某些卷上的交换文件功能[^3]。 需要注意的是,虽然能够改变pagefile.sys所在位置,但对于hiberfil.sys而言,则无法变更存储路径。 ```powershell # 使用PowerShell命令获取当前系统的分页文件状态 Get-CimInstance Win32_PageFileSetting | Select-Object Name, InitialSize, MaximumSize ``` 以上方法可以帮助用户更好地理解和掌控自己电脑里的pagefile.sys文件状况,从而实现更加高效的资源利用。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值