青春旅社第四集:谁知道这个程序是什么？~

不是页面文件，文件类型要看后缀的。他是快捷方式：是个病毒的快捷方式

毒发作症状：

呃。。机器中毒了。解决方案:

呃。。这次中了个比较麻烦的毒，可能是个“传奇世界”的盗号病毒，也可能是其他的。就我目前掌握的方法和资料而言，暂时还无法完美解决。有能完美解决该病毒的朋友，请通过以下3种方式与我联系：、，以及在本空间任何地方留言。谢谢。

事件篇
12月27日左右中的毒，当时我以为通过系统还原的方式已经搞定了，实际上没那么简单。

病毒发作的时候

1.无法双击打开D盘，D盘变成了自动播放，只能靠右键选择"打开"

2.D盘生成2个文件，pagefile.pif 以及autorun.inf（这个是隐藏文件），打开autorun.inf文件，发现里面运行的是OPEN=D:\pagefile.pif

3.注册表里出现这个HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command 以及 HKEY_USERS\S-1-5-21-1123561945-854245398-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command，里面启动的就是D:\pagefile.pif

4.C盘windows目录下生成1.com等文件

5.msconfig启动项无法打开（注册表可以打开）

6.杀毒软件无法运行，木马克星无法运行

7.进程里出现另一个winlogon.exe

8.点击Windows窗口左下脚"开始"，上方的IE图标无法显示，下面多了个易趣的图标并且链接指向某个网址（出于安全问题，这个网址我不能公开，可能是病毒的网址）

9.hijackthis这个方法，当时已经把进程里的病毒进程"C:\WINDOWS\WINLOGON.EXE"删掉了，但5秒钟后我重新启动hijackthis扫描的时候，这个进程又出现了。也就是说，它当时还关联了其他病毒程序，并且那个程序并没有在hijackthis扫描出来的列表里出现。此外，注册表和C:\WINDOWS\的目录里均没有WINLOGON.EXE这个程序。

解决篇：

1.找到D盘的pagefile.pif文件，看它创建的日期是什么时候。删除之。

2.用系统还原功能，把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效（提示是“系统没被修改，无法还原”）。
这时候也可以用另外一种方法：用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件，文件大小限制在50K以内，文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件（包括pagefile.pif），日期和大小都差不多的，删除之。

3.开始---运行---cmd（打开命令提示符）
D: dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现D盘有一个autorun.inf文件，运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
最后运行del autorun.inf

4.如果上面一步觉得不理解，那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹"，并且取消“隐藏受保护的操作系统文件”，这样你就会在D盘看到一个隐藏文件autorun.inf，这个文件的产生日期果然是我机器中毒当天12月27日（记得把只读属性取消）。打开这个文件，可以看到它自动运行的内容，如下：
[code]
[autorun]
OPEN=D:\pagefile.pif
[/code]
将autorun.inf文件删除。

5.开始---运行---regedit（打开注册表）
查找pagefile.pif，并将其整个shell子键删除。至此，病毒完美删除。

DOS指向。
看在那里地方。
在D盘就是毒，
在C盘下的WINNT或者WINDOWS就是正常的。

这是一个快捷方式，是在DOS下运行的，不过这个名字很有可能是个木马！

系统文件，无毒，是一个页面文件