完全搞定pagefile.pif(ExERoute木马)病毒

完全搞定pagefile.pif(ExERoute木马)病毒

 

作者： cywater2000

日期： 2006-8-5

来自：http://blog.youkuaiyun.com/cywater2000

 

由于快 2 年没中过毒了，所以最近我偷了一下懒，好几天没更新病毒库，并且下调了安全级别。结果一更新就发现中毒了，杀掉之后发现所有的 exe 文件不能执行，靠！

上网查了一下才发现中的是 pagefile.pif 病毒，又被称为 ExERoute 木马 ( 专业代码： Trojan.PSW.Lmir.iux ) 。于是花了一些时间研究恢复方法：

 

主要分五步：

 

1．  杀毒。

可以用软件，也可以手动。

下面是卡巴杀掉的结果：

如果手动的话，可以使用下面的批处理 bat 文件： ( 详情可参考引用 [1])

 

@echo ===============================================

@echo Delete Trojan.PSW.Lmir.iux By o__4pollo

@echo ===============================================

@echo Start...

@echo ===============================================

@echo Execute ATTRIB...

 

@echo off

attrib -s -r -a -h c:/windows/1.com

attrib -s -r -a -h c:/windows/services.exe

attrib -s -r -a -h c:/windows/explorer.com

attrib -s -r -a -h c:/windows/finder.com

attrib -s -r -a -h c:/windows/exeroute.exe

 

attrib -s -r -a -h c:/windows/debug/debugprogram.exe

 

attrib -s -r -a -h c:/windows/system32/regedit.com

attrib -s -r -a -h c:/windows/system32/dxdiag.com

attrib -s -r -a -h c:/windows/system32/msconfig.com

attrib -s -r -a -h c:/windows/system32/command.pif

 

attrib -s -r -a -h c:/windows/system32/finder.com

attrib -s -r -a -h c:/windows/system32/rundll32.com

attrib -s -r -a -h c:/windows/system32/i.com

 

attrib -s -r -a -h c:/progra~1/common~1/iexplore.pif

attrib -s -r -a -h c:/progra~1/intern~1/iexplore.com

 

attrib -s -r -a -h d:/pagefile.pif

rem ===============================================

@echo Execute DELETE...

 

@echo off

del c:/windows/1.com

del c:/windows/services.exe

del c:/windows/explorer.com

del c:/windows/finder.com

del c:/windows/exeroute.exe

 

del c:/windows/debug/debugprogram.exe

 

del c:/windows/system32/regedit.com

del c:/windows/system32/dxdiag.com

del c:/windows/system32/msconfig.com

del c:/windows/system32/command.pif

del c:/windows/system32/finder.com

del c:/windows/system32/rundll32.com

del c:/windows/system32/i.com

 

del c:/progra~1/common~1/iexplore.pif

del c:/progra~1/intern~1/iexplore.com

 

del d:/pagefile.pif

 

@pause

 

@echo ===============================================

@echo End...

@echo ===============================================

 

另外，如果是手动杀的，要使用专业软件杀掉进程： %Windows%/services.exe 与 %Windows%/winlogo.exe ( 注意不要搞错了，不是 system32 目录下的，那些是正常的系统程序 ) ，推荐使用冰刃 IceSword1.18 。 ( 注意使用的时候把后缀 exe 改成 com)

 

 

2. 回复 exe 关联

由于病毒破坏了 exe 关联，所以无法使用 MSDOS(cmd.exe) ，你可以把 cmd.exe 改成 cmd.com 再运行，当然，用 bat 文件更方便。

执行命令： assoc .exe=exefile

( 注意“ assoc ”是命令，而“ .exe=exefile ”是参数，所以中间要有空格 )

 

 

3. 注册表操作

(1) 打开注册表编辑器，依此分别查找“ rundll32.com ”、“ finder.com ”、“ command.pif ”，把找到的内容里面的“ rundll32.com ”、“ finder.com ”、“ command.pif ”分别改为“ Rundll32.exe ”

 

(2) 查找“ iexplore.com ”的信息，把找到的内容里面的“ iexplore.com ”改为“ iexplore.exe ”

 

(3) 查找“ explorer.com ”的信息，把找到的内容里面的“ explorer.com ”改为“ explorer.exe ”

 

(4) 查找“ iexplore.pif ”，应该能找到类似“ %ProgramFiles%/Common Files/iexplore.pif ”的信息，把这内容改为“ C:/Program Files/Internet Explorer/iexplore.exe ”。

 

(5) 删除病毒添加的文件关联信息和启动项：

[HKEY_CLASSES_ROOT/winfiles]

 

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]

"Torjan Program"="%Windows%/services.exe"

 

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]

"Torjan Program"="%Windows%/services.exe"

 

（ 6 ）修改

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]

"Shell"="Explorer.exe 1"

改为

"Shell"="Explorer.exe"

 

 

完事了吗？不一定哟 ~~~

 

 

4. 回复右键菜单的：打开方式 -- 选择程序

你右键点击某个文件，然后选：“打开方式 -- 选择程序”，如果此功能无法使用，通过以下 reg 文件回复：

 

Windows Registry Editor Version 5.00

 

[HKEY_CLASSES_ROOT/Unknown]

"AlwaysShowExt"=""

"QueryClassStore"=""

 

[HKEY_CLASSES_ROOT/Unknown/shell]

@="openas"

 

[HKEY_CLASSES_ROOT/Unknown/shell/openas]

 

[HKEY_CLASSES_ROOT/Unknown/shell/openas/command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/

00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,/

6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,00,53,/

00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,/

79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,/

00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,4f,00,70,00,65,00,6e,00,41,00,/

73,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,20,00,25,00,31,00,00,00

 

 

5 ．回复桌面的 IE

如果你桌面的 IE 或“我的电脑”等点击之后不能正常访问，使用下面的 bat 文件回复：

 

regsvr32 appwiz.cpl

regsvr32 mshtml.dll

regsvr32 jscript.dll

regsvr32 msi.dll

regsvr32 "C:/Program Files/Common Files/System/Ole DB/Oledb32.dll"

regsvr32 "C:/Program Files/Common Files/System/Ado/Msado15.dll"

regsvr32 mshtmled.dll

regsvr32 /i shdocvw.dll

regsvr32 /i shell32.dll

 

 

总结：

我的习惯是一年重装一次系统，本来这次想重装省事的，不过还是决定应该试一下看看能不能搞定，毕竟接触 PC 这么长时间，有事就重装也太面了吧 …

啊哈哈哈哈 ~~~

目前一切 OK ！

 

PS ：上面的第 2 步和第 3 步有可能需要换一下次序 ( 因此要先将注册表操作程序 regedit.exe 改成 regedit.com)

 

 

参考资料：

[1] pagefile.pif 病毒解决方案 ,

http://www.esanenu.com/new/Article_Show2.asp?ArticleID=370

 

[2] 如何删除 ExERoute 木马文件 , 　

http://family.chinaok.com/2006-06/19551.htm

 

[3] 打开方式 "--" 选择程序 " 被拒绝访问 的解决方法 ,

http://www.cnfreelancer.net/blog/article.asp?id=28

 

[4] Windows 系统“无法打开”故障解决方法 ,

http://soft.yesky.com/os/win/427/2373427.shtml

 

[5] 最近碰到的最烦人的病毒 ,

http://vip.rongshuxia.com/rss/bbs_viewart.rs?bid=108950&aid=2835