完全搞定pagefile.pif(ExERoute木马)病毒

最新推荐文章于 2022-10-28 20:02:11 发布
最新推荐文章于 2022-10-28 20:02:11 发布
阅读量9.3k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: PC技术 文章标签: windows c exe shell delete hex
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cywater2000/article/details/1024903
本文提供了一种针对ExERoute木马(Trojan.PSW.Lmir.iux)的手动清除方法,包括杀毒、恢复exe关联、修复注册表、恢复右键菜单功能及桌面IE等问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

完全搞定pagefile.pif(ExERoute木马)病毒

 
作者: cywater2000
日期: 2006-8-5

来自:http://blog.youkuaiyun.com/cywater2000
 
由于快 2 年没中过毒了,所以最近我偷了一下懒,好几天没更新病毒库,并且下调了安全级别。结果一更新就发现中毒了,杀掉之后发现所有的 exe 文件不能执行,靠!
上网查了一下才发现中的是 pagefile.pif 病毒,又被称为 ExERoute 木马 ( 专业代码: Trojan.PSW.Lmir.iux ) 。于是花了一些时间研究恢复方法:
 
主要分五步:
 
1.  杀毒。
可以用软件,也可以手动。
下面是卡巴杀掉的结果:
如果手动的话,可以使用下面的批处理 bat 文件: ( 详情可参考引用 [1])
 
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
 
@echo off
attrib -s -r -a -h c:/windows/1.com
attrib -s -r -a -h c:/windows/services.exe
attrib -s -r -a -h c:/windows/explorer.com
attrib -s -r -a -h c:/windows/finder.com
attrib -s -r -a -h c:/windows/exeroute.exe
 
attrib -s -r -a -h c:/windows/debug/debugprogram.exe
 
attrib -s -r -a -h c:/windows/system32/regedit.com
attrib -s -r -a -h c:/windows/system32/dxdiag.com
attrib -s -r -a -h c:/windows/system32/msconfig.com
attrib -s -r -a -h c:/windows/system32/command.pif
 
attrib -s -r -a -h c:/windows/system32/finder.com
attrib -s -r -a -h c:/windows/system32/rundll32.com
attrib -s -r -a -h c:/windows/system32/i.com
 
attrib -s -r -a -h c:/progra~1/common~1/iexplore.pif
attrib -s -r -a -h c:/progra~1/intern~1/iexplore.com
 
attrib -s -r -a -h d:/pagefile.pif
rem ===============================================
@echo Execute DELETE...
 
@echo off
del c:/windows/1.com
del c:/windows/services.exe
del c:/windows/explorer.com
del c:/windows/finder.com
del c:/windows/exeroute.exe
 
del c:/windows/debug/debugprogram.exe
 
del c:/windows/system32/regedit.com
del c:/windows/system32/dxdiag.com
del c:/windows/system32/msconfig.com
del c:/windows/system32/command.pif
del c:/windows/system32/finder.com
del c:/windows/system32/rundll32.com
del c:/windows/system32/i.com
 
del c:/progra~1/common~1/iexplore.pif
del c:/progra~1/intern~1/iexplore.com
 
del d:/pagefile.pif
 
@pause
 
@echo ===============================================
@echo End...
@echo ===============================================
 
另外,如果是手动杀的,要使用专业软件杀掉进程: %Windows%/services.exe %Windows%/winlogo.exe ( 注意不要搞错了,不是 system32 目录下的,那些是正常的系统程序 ) ,推荐使用冰刃 IceSword1.18 ( 注意使用的时候把后缀 exe 改成 com)
 
 
2. 回复 exe 关联
由于病毒破坏了 exe 关联,所以无法使用 MSDOS(cmd.exe) ,你可以把 cmd.exe 改成 cmd.com 再运行,当然,用 bat 文件更方便。
执行命令: assoc .exe=exefile
( 注意“ assoc ”是命令,而“ .exe=exefile ”是参数,所以中间要有空格 )
 
 
3. 注册表操作
(1) 打开注册表编辑器,依此分别查找“ rundll32.com ”、“ finder.com ”、“ command.pif ”,把找到的内容里面的“ rundll32.com ”、“ finder.com ”、“ command.pif ”分别改为“ Rundll32.exe
 
(2) 查找“ iexplore.com ”的信息,把找到的内容里面的“ iexplore.com ”改为“ iexplore.exe
 
(3) 查找“ explorer.com ”的信息,把找到的内容里面的“ explorer.com ”改为“ explorer.exe
 
(4) 查找“ iexplore.pif ”,应该能找到类似“ %ProgramFiles%/Common Files/iexplore.pif ”的信息,把这内容改为“ C:/Program Files/Internet Explorer/iexplore.exe ”。
 
(5) 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT/winfiles]
 
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/services.exe"
 
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
"Torjan Program"="%Windows%/services.exe"
 
6 )修改
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
 
 
完事了吗?不一定哟 ~~~
 
 
4. 回复右键菜单的:打开方式 -- 选择程序
你右键点击某个文件,然后选:“打开方式 -- 选择程序”,如果此功能无法使用,通过以下 reg 文件回复:
 
Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT/Unknown]
"AlwaysShowExt"=""
"QueryClassStore"=""
 
[HKEY_CLASSES_ROOT/Unknown/shell]
@="openas"
 
[HKEY_CLASSES_ROOT/Unknown/shell/openas]
 
[HKEY_CLASSES_ROOT/Unknown/shell/openas/command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,/
6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,00,53,/
00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,/
79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,/
00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,4f,00,70,00,65,00,6e,00,41,00,/
73,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,20,00,25,00,31,00,00,00
 
 
5 .回复桌面的 IE
如果你桌面的 IE 或“我的电脑”等点击之后不能正常访问,使用下面的 bat 文件回复:
 
regsvr32 appwiz.cpl
regsvr32 mshtml.dll
regsvr32 jscript.dll
regsvr32 msi.dll
regsvr32 "C:/Program Files/Common Files/System/Ole DB/Oledb32.dll"
regsvr32 "C:/Program Files/Common Files/System/Ado/Msado15.dll"
regsvr32 mshtmled.dll
regsvr32 /i shdocvw.dll
regsvr32 /i shell32.dll
 
 
总结:
我的习惯是一年重装一次系统,本来这次想重装省事的,不过还是决定应该试一下看看能不能搞定,毕竟接触 PC 这么长时间,有事就重装也太面了吧
啊哈哈哈哈 ~~~
目前一切 OK
 
PS :上面的第 2 步和第 3 步有可能需要换一下次序 ( 因此要先将注册表操作程序 regedit.exe 改成 regedit.com)
 
 
参考资料:
[1] pagefile.pif 病毒解决方案 ,
 
[2] 如何删除 ExERoute 木马文件 ,  
 
[3] 打开方式 "--" 选择程序 " 被拒绝访问 的解决方法 ,
 
[4] Windows 系统“无法打开”故障解决方法 ,
 
[5] 最近碰到的最烦人的病毒 ,
pagefile.sys 占用39G,可以怎么处理
qq_44534541的博客
12-31 2063
如果你的物理内存足够大(例如 32GB 或更多),并且不需要虚拟内存,可以完全禁用页面文件。是 Windows 系统中的页面文件(虚拟内存文件),用于在物理内存(RAM)不足时,将部分数据交换到磁盘上。Windows 默认会根据系统需求自动管理页面文件的大小,但你可以手动调整其大小以节省磁盘空间。文件过大,可能是因为系统内存不足,导致频繁使用虚拟内存。如果你的系统盘(通常是 C 盘)空间不足,可以将页面文件移动到其他驱动器。占用了 39GB 的磁盘空间,你可以通过以下方法优化或减小其大小。
很好用的蠕虫病毒查杀工具
10-30
很好用的蠕虫病毒查杀工具
江民引导区病毒专杀工具
09-18
硬盘引导区病毒专杀工具,用于查杀硬盘引导区病毒.须在DOS下使用
关于pagefile.pif(Trojan.PSW.Lmir.iux)病毒的解决
CLassic_Ms的专栏
09-10 1931
(1)起因:   前两天看片时,avast不断弹出警告,赶紧关了影片,手动清除病毒文件,没想到还是不小心中招,(realplayer文件内嵌恶意网页,而realplayer本身无法阻止,靠,以后发誓不用realplayer了,只用wmplayer,可阻止rm文件内的恶意网页弹出)。关机重启后病毒启动运行,靠,俺可怜的机子直接篮屏。(主要是由于我的硬盘空间太小了,每个盘都只剩下最多1百M多的空间,而
手工清除pegefile.pif病毒
weixin_34218890的博客
07-30 296
近日一客户机器感染pegefile.pif病毒,在各个盘符根目录下均有此文件。上网也没找到很好的解决办法。 特征: 主要文件隐藏在%programfiles%\Internet Explorer\PLUGINS\NewTemp.dll还有一些类似文件名的文件。 手工清除: 进入安全模式或者用PE进入系统删除n...
linux发现很多pifexe文件,u盘里 木马xftiaj.pif 是什么文件,肿么删除?
weixin_39925350的博客
05-17 836
雪花之家提供:http://blog.w5wk.com/清除~.pif病毒网摘1:()具体步骤是:运行gpedit.msc打开组策略-计算机配置-windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" .然后点击浏览找到木马文件,也就是c:\\windows\\smss.exe,安全级别选择"不允许的", 这样smss.exe就不会再运行了.网摘2:最近要注...
一个U盘居然带了三个病毒文件Ghost.pif,cmdwin.exe,servet.exe
Purpleendurer@优快云
07-20 2017
一个U盘居然带了三个病毒文件Ghost.pif,cmdwin.exe,servet.exeendurer 原创2007-07-20 第1版下午,一位同事拿U盘过来用。用WinRAR查看,居然有三个病毒文件。文件说明符 : I:/Ghost.pif属性 : ASH-获取文件版本信息大小失败!创建时间 : 2007-7-12 9:3:34修改时间 : 2007-7-18 16:48:14访
磁碟机病毒专杀工具:彻底清除pagefile.pif威胁
3. 删除检测到的病毒文件,这可能包括pagefile.pif病毒文件。 4. 修复受损的系统文件和注册表项。 5. 更新病毒库,以便能够防御新出现的磁碟机病毒变种。 6. 如果病毒感染了系统文件或者启动项,可能需要使用...
pagefile.sys文件怎么删除.docx
09-26
Pagefile.sys 文件删除方法 Pagefile.sys 文件是 Windows 操作系统中用于虚拟内存的文件,该文件位于系统 C 盘根目录下。由于该文件的存在可能会占用大量的磁盘空间,因此在硬盘空间不足的情况下,删除该文件可以...
pagefile.sys是什么?pagefile.sys可以删除吗?.docx
09-26
Pagefile.sys 介绍和管理 Pagefile.sys 是什么? ---------------- Pagefile.sys 是一个虚拟内存文件,也称为系统分页文件。它是由操作系统创建的隐藏文件,用于存储当前内存中无法存放的数据。当系统内存不足时,...
pagefile.sys可以删除吗?.docx
09-26
Pagefile.sys 文件详解 Pagefile.sys 文件是 Windows 操作系统中的一种虚拟内存页面文件,在系统安装过程中创建。这个文件的大小是系统虚拟内存设置的最小值的大小。如果虚拟内存的设置为 800MB-1600MB,那么在系统...
熊猫烧香病毒分析
ZK_1874的博客
10-28 3218
熊猫烧香病毒分析
病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析
Gleam的专栏
12-25 4268
一、前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见《病毒木马查杀第008篇:熊猫烧香之病毒查杀总结》)来对病毒的行为产生一定的认识,这样在之后的逆向分析中,我就能够产生“先入为主”的心态,在分析反汇编代码的时候就能够比较顺利。本文论述的是通过静态分析方法来理解我们的目标病毒,看看仅仅通过观察其十六
pagefile.sys文件怎么看
最新发布
03-01
### 如何查看和管理 Windows Pagefile.sys 文件 #### 查看 Pagefile.sys 文件的位置与大小 Pagefile.sys文件作为Windows系统的一部分,默认情况下被隐藏,因此需要通过特定设置来显示其存在并了解其属性。要查看此文件及其配置详情: 1. 打开“控制面板”,选择“系统和安全”,再点击进入“系统”。在左侧菜单中,单击“高级系统设置”。 2. 在弹出的“系统属性”窗口里切换到“高级”选项卡,在性能区域点击“设置”按钮。 3. 进入“性能选项”的新对话框后转至“高级”标签页下,可以看到关于虚拟内存的部分以及当前使用的分页文件(即pagefile.sys)的信息[^1]。 #### 调整 Pagefile.sys 的参数 对于希望优化计算机性能或释放更多硬盘空间的人来说,合理调整pagefile.sys的相关参数是非常重要的。具体操作如下所示: - 同样是在上述提到的“性能选项”界面内,“更改”按钮可以用来修改pagefile.sys的具体设定。 - 取消勾选“自动管理所有驱动器的分页文件大小”,以便手动指定各个磁盘上的pagefile.sys容量范围;可以选择自定义初始大小和最大值,或者完全禁用某些卷上的交换文件功能[^3]。 需要注意的是,虽然能够改变pagefile.sys所在位置,但对于hiberfil.sys而言,则无法变更存储路径。 ```powershell # 使用PowerShell命令获取当前系统的分页文件状态 Get-CimInstance Win32_PageFileSetting | Select-Object Name, InitialSize, MaximumSize ``` 以上方法可以帮助用户更好地理解和掌控自己电脑里的pagefile.sys文件状况,从而实现更加高效的资源利用。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值