中毒了autorun.inf&pagefile.pif

Posted 2023-05-09

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了中毒了autorun.inf&pagefile.pif相关的知识，希望对你有一定的参考价值。

打开atuorun.inf文件是这样写的
[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell\Auto\command=pagefile.pif
而且还有一个pagefile.pif指向ms-dos的快捷方式,这个病毒太可恶了，还关联exe文件,请大哥们帮个忙,到底是什么病毒

典型的落雪木马的症状！
你可以搜索下载一个落雪木马专杀到安全模式下去查杀它

也可以试试下面的办法
在资源管理器里选择“工具－－文件夹选项－－查看”，勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件，有的话，记下名字然后将它删除（如果能删除的话）。右击这个Autorun.inf 文件，选择用记事本打开，查看里面的内容，记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。

2.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。

3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

4.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。

5.以记下的、Open后面的这些文件的文件名搜索整个注册表，删除搜索到的键值。

6.重启电脑。

如果这样操作以后，出现双击分区不能打开分区的情况，请按下面的操作即可。
打开我的电脑工具文件夹选项文件类型找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”（这个可随意填写）用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口，选中open 设为默认值确定现在再打开分区看下，是不是已恢复正常？参考技术A 工具--文件夹属性--查看--隐藏已知文件类型的扩展名的勾去掉--应用确定
把以下内容保存到记事本，然后改为 .bat 格式的批处理文件
再双击打开
c:
attrib autorun.inf -s -h -r
del autorun.inf /f/s/q/a
d:
attrib autorun.inf -s -h -r
del autorun.inf /f/s/q/a
e:
attrib autorun.inf -s -h -r
del autorun.inf /f/s/q/a
f:
attrib autorun.inf -s -h -r
del autorun.inf /f/s/q/a 参考技术B 解决方法如下，请按步骤执行：
先打开我的电脑→工具→文件夹选项→查看→选中显示所有文件和文件夹，去掉“隐藏受保护的系统文件”的选中，让所有的文件都显示出来
然后右击D盘→打开的方法打开D盘，你会看到auotrun.inf文件，先不要删除它，双击它,会自动用记事本打开这个文件，里面有open="一个有exe文件"，到这里你要记信这个open后的这个exe文件，然后关闭记事本。
接下来，右击任务栏→任务管理器→进程→找到你刚才看到的open后的那个exe文件的进程→右击→结束进程树。再到D盘下面，你应该可以顺序删除里面的autorun.inf和open指向的exe文件了。
一般它还会感染其他盘，并且会在注册表里面有启动项，只要你重启就会重新发作，所以你还要把其它的盘检查一次。然后删掉注册表里的启动项，方法如下：
开始→运行→regedit，进入注册表，打下如下的子键：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边找open＝指定的那个exe文件的启动项。一般会是c:\windiws\*****.exe之类！！
如果有，右击→删除即可！！这样就不会再发作了！
到此应该可以解决了！！！

最后如果还是关联exe文件
使用下载瑞星的注册表修复器：http://download.rising.com.cn/zsgj/RegClean.com，利用它来修复一下文件关联。参考技术C U盘(auto病毒)类病毒分析与解决方案

出处：数据安全实验室 (DSW Lab Avert 小组)

日期：2007年01月07日
版权所有，转载请保留版权!

一、U盘病毒简述：

U盘(自动运行)类病毒(auto病毒)近来非常常见，并且具有一定程度危害，它的机理是依赖Windows的自动运行功能，使得我们在点击打开磁盘的时候，自动执行相关的文件。目前我们使用U盘都十分频繁，当我们享受U盘所带来的方便时，U盘病毒也在悄悄利用系统的自动运行功能肆意传播，目前流行的U盘病毒文件大家甚至耳熟能详了，比如经常有网友问的SSS.EXE SXS.EXE如何查杀这类的，下面我们将对U盘病毒极其特性和防范办法进行分析总结。

二、特性分析：

所谓的自动运行功能是指Windows系统一种方便特性，使当光盘、U盘插入到机器自动运行，而这种特性的实现就是通过磁盘跟目录下的autorun.inf文件进行。这个文件保存在驱动器的根目录下(一般会是一个隐藏属性的系统文件)，它保存着一些简单的命令，告知系统新插入的光盘或U盘应该自动启动什么程序等。

常见的Autorun.inf文件格式大致如下：

[AutoRun] //表示AutoRun部分开始，必须输入
icon=C:\C.ico //指定给C盘一个个性化的盘符图标C.ico
open=C:\1.exe //指定要运行程序的路径和名称，只要在此放入病毒程序就可自动运行；

在Windows系统有允许和阻止自动运行的键值的方法：

在注册表中找到如下键：

键路径：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer]

在右侧窗格中有 "NoDriveTypeAutoRun"这个键决定了是否执行Autorun功能.其中每一位代表一个设备,不同设备用以下数值表示:

设备名称第几位值设备用如下数值表示设备名称含义
DRIVE_UNKNOWN 0 1 01h 不能识别的类型设备
DRIVE_NO_ROOT_DIR 1 0 02h 没有根目录的驱动器
DRIVE_REMOVABLE 2 1 04h 可移动驱动器
DRIVE_FIXED 3 0 08h 固定的驱动器
DRIVE_REMOTE 4 1 10h 网络驱动器
DRIVE_CDROM 5 0 20h 光驱
DRIVE_RAMDISK 6 0 40h RAM磁盘

其中：保留 7 1 80h 未指定的驱动器类型

以上值"0"表示设备运行，"1"表示设备不运行。
从上面可以看出，对应的DRIVE_NO_ROOT_DIR、DRIVE_FIXED、DRIVE_CDROM、DRIVE_RAMDISK是可以自动运行的。所以要禁止硬盘自动运行AutoRun.inf文件，就必须将DRIVE_FIXED这些键的值设为1，由于DRIVE_FIXED代表固定的驱动器(即硬盘)。如果仅想禁止软件光盘的AutoRun功能，但又保留对CD音频碟的自动播放能力，这时只需将“NoDriveTypeAutoRun”的键值改为：BD,00,00,00即可。

U盘病毒就是利用这种系统特性，一般在感染后会修改系统的注册表，将显示所有文件的选项设置为禁止。甚至修改磁盘关联，杀毒软件一般会只把病毒文件清除，但对残余的文件不会处理。这也是常见的杀毒软件为什么常常无法清除干净，或者清除后双击无法打开磁盘的原因。

三、解决方案：

1、使用超级巡警套装来全面解决U盘病毒问题(推荐!):

①超级巡警对U盘病毒检测进行了特别的处理，可以快速的监测和定位U盘病毒，并清除它们。
②超级巡警同时还提供对注册表关联修复和自动运行阻止的处理。

2、手动解决办法：

①根据上面的原理，自己修改注册表禁止磁盘的自动运行特性。
②把文件夹选项中隐藏受保护的操作系统文件钩掉，选中显示所有文件和文件夹，点击确定。这样可以在感染病毒的移动存储设备中会看到几个文件(包括autorun.inf和病毒文件)，删除后，病毒就清除了参考技术D 去江民网站下载个威金专杀，