1. 怎麼刪除這個木馬
首先先看下csrss.exe進程的說明:
進程文件:csrss or csrss.exe
進程名稱:Client/Server Runtime Server Subsystem
進程類別:系統進程
進程描述:客戶端服務子系統,用以控制Windows圖形相關子系統。
csrss.exe病毒按病毒分類屬於蠕蟲病毒,它會以csrss.exe為文件名拷貝自己的副本文件到Windows目錄下,並添加下面的注冊表鍵值,以便每次Windows啟動蠕蟲會自動運行:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemSARS32, with value "C:\WINNT\csrss.EXE"。
好了,了解完它的背景,該來對付這個小東西了
方法一:
第一步,結束病毒進程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件並刪除(這些文件並非都有,可能只有幾個,但只要有,就刪!)
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\\autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\DebugProgram.exe
>> system\command.pif
>> System\regedit.com
>> System\rundll32.com
同時查看「開始」---「程序」中是否有以下連接安全測試.lnk、計算機安全中心.lnk、系統信息管理器.ink,刪!
第三步,打開注冊表編輯器:
(1)分別查找「finder.com」、「rundll32.com」、「command.pif」的信息,把找到值中的「finder.com」、「rundll32.com」、「command.pif」改為「rundll32.exe」
(2)查找「iexplore.com」的信息,把找到值中的「iexplore.com」改為「iexplore.exe」;查找「iexplore.pif」的信息,把找到值中類似「%ProgramFiles%\\Common Files\\iexplore.pif」的信息改為類似「%ProgramFiles%\\Internet Explorer\\iexplore.exe」
(3)查找「explorer1.com」的信息,把找到值中的「explorer1.com」改為「explorer.exe」
第四步,刪除病毒啟動項:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Torjan Program"="%Windows%\\CSRSS.exe"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"Torjan Program"="%Windows%\\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"
刪除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]項和[HKEY_CLASSES_ROOT\\winfiles]項
第五步,重啟計算機,完成。
方法二:
大家都有WINRAR吧?找到Windows\csrss.exe,在csrss.exe上右擊滑鼠,選擇「添加到壓縮文件」,這時WINRAR會出現提示窗「壓縮文件名和參數」,選擇「壓縮後刪除源文件」,確定,生成壓縮文件,這時發現csrss.exe沒了,不要高興太早,現在只是把沖在最前面的病毒體刪掉了,而那些幕後指使者們還在逍遙自在。運行注冊表醫生(要英文原版的,菜單單詞都很簡單),選擇掃描修復所有錯誤,待修復完成後,重新啟動計算機,csrss.exe病毒就被徹底趕出你的愛機了。
總結,第一個方法是大眾方法,也是效果比較穩定的方法,第二個方法能解決掉這個病毒,但還不能保證對以後的變種一定有效。當然,這里說的是手動清楚方法,對於許多計算機初學者來說還是用殺毒軟體來的比較方便,同時我也強烈建議朋友們即使手動清除了病毒,也要用殺毒軟體徹底查一遍,以防萬一
2. pif病毒
Pif 可以用來指向一個dos程序,也就是dos程序的快捷方式,比如可以連到一個病毒或者
木馬. 它自己也可能就是一個蠕蟲,讓我們深入的研究一下...
[你要會點 DOS 下的 batch 語言(批處理文件) 和 知道怎樣使用 Debug]
這里有下面提到的幾個pif病毒文件,點擊這里下載.在這察看源代碼!
解決方法:把 pif 的文件名改成 sex.bmp, 編輯它.把你的病毒或者木馬轉換成 Debug 腳本.
Pif 文件將會把自己拷貝成 winstart.bat 在 %windir% 的目錄中,下面就簡單了...
你還要加入一些 debug 腳本到 winstart.bat 中,和其它的一些功能.
3. 如何清除page.pif病毒
1.打開windows任務管理器,察看是否有可疑的進程(可以根據殺毒軟體的報告或者在網上搜索相關信息來判定)在運行,如果有把它結束。注意在system32目錄下的Rundll32.exe本身不是病毒,有可能一個dll文件在運行,他才可能是病毒或惡意程序之類的東西。由於windows任務管理器不能顯示進程的路徑,因此建議使用殺毒軟體自帶的進程察看和管理工具來查找並中止可疑進程。然後設法找到病毒程序文件(主要是你所中止的病毒進程文件,另外先在資源管理器的文件夾選項中,設置顯示所有文件和文件夾、顯示受保護的文件,再察看如system32文件夾中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等處是否有不明文件或病毒程序文件),然後刪去,搞清楚是否是系統文件再動手。
2.有些病毒進程終止不了,提示「拒絕訪問」,或者出現「屢禁不止」的情況。根據我的經驗,有三種辦法供嘗試:
A.可能是某些木馬病毒、流氓軟體等注冊為系統服務了。辦法是:察看控制面板〉管理工具〉服務,看有沒有與之相關的服務(特別是「描述」為空的)在運行,把它停止。再試著中止病毒進程並刪除。
B.你可以嘗試安全模式下(開機後按F8選安全模式)用殺毒軟體處理,不行則再按步驟1和2A試一試。
C.(慎用)使用冰刃等工具,察看病毒進程的線程信息和模塊信息,嘗試結束線程和解除模塊,再試著刪除病毒進程文件和相應的模塊。(慎用)
3.如果稍微懂得注冊表使用的,可以再把相關的注冊表鍵值刪除。一般方法:開始〉運行,輸入regedit,確定,打開注冊表編輯器。編輯〉查找,查找目標為病毒進程名,在搜索結果中將與之有關的鍵值刪除。有時這樣做不能遏止病毒,還應嘗試使用步驟2中方法。
4.某些病毒會劫持IE瀏覽器,導致亂彈網頁的狀況。建議用金山毒霸的金山反間諜 2006等修復工具。看瀏覽器輔助對象BHO是否有可疑項目。有就修復它。修復失敗時參照1、2來做。
5.其他提示:為了更好的操作,請先用優化大師或超級兔子清理所有臨時文件和上網時的緩存文件。一般病毒往往在臨時文件夾Temp中,這樣做可以幫你更快找到病毒文件。
開始〉運行,輸入msconfig,確定,可以打開「系統配置實用程序」。選擇「啟動」,察看開機時載入的程序,如果在其中發現病毒程序,可以禁止它在開機時載入。不過此法治標不治本,甚至對某些程序來說無效。還是要按步驟1、2辦。
4. pagefile.pif 病毒如何解決
請下載安裝360系統急救箱,在安全模式下自定義全盤掃描來查殺修復,先查殺一遍,查殺完成後重啟電腦。
然後再打開360系統急救箱,選擇修復功能(修復選項可全選),立即修復即可。希望可以幫上你。
5. 我的pendrive有autorun.inf,.pif和.exe的隱藏文件,也就是病毒,如何徹底刪除
哥們你好,有些病毒在正常模式下是殺不掉的,你可以如下操作試試:
(1)重啟後,F8 進帶網路安全模式
(2)用360安全衛士依次進行:清除插件、清除垃圾、清除痕跡、系統修復、高級工具「開機啟動項管理」一鍵優化、使用「木馬查殺」殺木馬,用360殺毒全盤殺毒。
如果還沒清除用下以方案:
(3)重新啟動,F8 進帶網路安全模式
(4)用360系統急救箱試一試 ,希望能幫助你
6. u盤里 木馬xftiaj.pif 是什麼文件,怎麼刪除
雪花之家提供:http://blog.w5wk.com/
清除~.pif病毒
網摘1:(略)
具體步驟是:運行gpedit.msc打開組策略-計算機配置-windows設置-安全設置-軟體限制策略-其它規則,在右邊窗口空白處右鍵選擇"新散列規則" .然後點擊瀏覽找到木馬文件,也就是c:\\windows\\smss.exe,安全級別選擇"不允許的", 這樣smss.exe就不會再運行了.
網摘2:
最近要注意:~.pif 病毒。
n多殺毒軟體不報毒。我最近經常在客戶的電腦中看到這個病毒。
運行:msconfig
在啟動項裡面有:~.pif
刪掉後。馬上又會生成。
原來在進程里有個:lsass.exe
系統的:lsass.exe 是放在/windows/system32/
這個lsass.exe 是放在/windows/system32/drivers/
關掉:第二個lsass.exe進程。然後。再去把第二個的lsass.exe刪掉。然後。再把啟動項的。~.pif 刪掉。
對付~.pif的具體操作步驟:
1. 在"開始"菜單中點擊打開"運行"對話框,輸入"msconfig"後點"確定".查看"啟動"標簽下有沒啟動項目"~.pif",若有說明您的電腦已中此病毒,中了的話接著看下面的操作步驟.
2. 打開"我的電腦"-"c盤" ,在/windows/system32/drivers/ 目錄文件夾中有沒有lsass.exe文件,若有說明電腦不能正常使用是由它引起的.看見它可惡,但先不要刪除它.
3. 再次打開"運行"對話框,輸入"gpedit.msc",確定.
4. 打開組策略-計算機配置-安全設置-選中"軟體限制策略".在"操作"菜單中選擇"創建新策略".
5. 點選"其它規則",在右邊窗口空白處右擊,選擇"新散列規則".
6. 點擊"瀏覽…",瀏覽到可惡的c:/windows/system32/drivers/lsass.exe ,打開.安全級別選擇"不允許的".確定下來,這樣lsass.exe就不會再運行了.
7.最後像第1步一樣,運行 msconfig ,去掉~.pif前的勾.確定下來重新啟動電腦,大功告成
不懂請聯系我,網站里有聯系方式
7. 我電腦里中了名為pagefile.pif 的病毒,用卡巴刪了之後,重起電腦,它又跑到E盤里了,怎麼才能徹底刪除掉呢
1.找到D盤的pagefile.pif文件,看它創建的日期是什麼時候。刪除之。
2.用系統還原功能,把系統還原到病毒產生之前的日期。這樣系統進程里就暫時不會有病毒及其相關聯的進程。不過似乎有的人在這時候即使做系統還原也無效(提示是「系統沒被修改,無法還原」)。
這時候也可以用另外一種方法:用Windows的搜索功能分別在C盤和D盤查找病毒產生的當天文件,文件大小限制在50K以內,文件名不限。這樣大概總共能找到4個左右病毒的MS-DOS相關文件(包括pagefile.pif),日期和大小都差不多的,刪除之。
3.開始---運行---cmd(打開命令提示符)
D: dir /a (沒有參數A是看不到的,A是顯示所有的意思) 此時你會發現D盤有一個autorun.inf文件,如下圖:1.找到D盤的pagefile.pif文件,看它創建的日期是什麼時候。刪除之。
2.用系統還原功能,把系統還原到病毒產生之前的日期。這樣系統進程里就暫時不會有病毒及其相關聯的進程。不過似乎有的人在這時候即使做系統還原也無效(提示是「系統沒被修改,無法還原」)。
這時候也可以用另外一種方法:用Windows的搜索功能分別在C盤和D盤查找病毒產生的當天文件,文件大小限制在50K以內,文件名不限。這樣大概總共能找到4個左右病毒的MS-DOS相關文件(包括pagefile.pif),日期和大小都差不多的,刪除之。
3.開始---運行---cmd(打開命令提示符)
D: dir /a (沒有參數A是看不到的,A是顯示所有的意思) 此時你會發現D盤有一個autorun.inf文件,如下圖:
http://tk.files.storage.msn.com/_-LQ1Q-61a9psjqOLVtBZZ4g_PF_xoRJy_
運行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏屬性
最後運行del autorun.inf
4.如果上面一步覺得不理解,那麼在"工具-文件夾選項-查看"中選中"顯示所有文件及文件夾",並且取消「隱藏受保護的操作系統文件」,如下圖:
http://tk.files.storage.msn.com/_2yLsTEZMKnaR5PjfwUoAJozhBJ_-jF2u9XFKblIl4dKLWIJmGXQ
這樣你就會在D盤看到一個隱藏文件autorun.inf
這個文件的產生日期肯定是機器中毒當天(記得把只讀屬性取消)
將autorun.inf文件刪除。
5.開始---運行---regedit(打開注冊表)
查找pagefile.pif,並將其整個shell子鍵刪除。
至此,病毒完美刪除。
以上,如果有錯漏的地方歡迎指正。
8. pagefile.pif每個盤符都有該怎麼殺掉,這是什麼病毒
是Autorun.inf這個文件的問題,就像有些光碟的自啟動一樣,你雙擊不一定能進入光碟,而是彈出一個安裝的畫面,就是Autorun.inf這個文件里做了設置,很多病毒都會在這個文件里動手腳,先殺病毒。其他盤正常嗎?
確定無毒後打開我的電腦-工具-文件夾選項-文件類型, 找到「驅動器」,
點下方的「高級」-點選「編輯文件類型」里的「新建」-操作里填寫「open」(這個可隨意填寫)-用於執行操作的應用程序里填寫explorer.exe-確定
應該能解決問題!
還有個方法:滑鼠雙擊我的電腦-工具-文件夾選項-查看-顯示所有文件和文件夾,然後進入d盤,把autorun.inf刪除,重啟即可。
如果找不到autorun.inf,那麼
1、開始-->運行-->cmd(打開命令提示符)
2、dir autorun.inf /a (沒有參數a是看不到的,a是顯示所有的意思),此時你會發現一個autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏屬性,否則無法刪除。
4、del autorun.inf
重啟即可。
注意:要保證無病毒了才有用,要不還會生成這個文件
還有終極殺此度法,不錯的
本人以前曾中過此木馬,供參考:
(轉摘)關鍵詞: WINLOGON.EXE ExERoute.exe Torjan Program 木馬
一老馬,應該說半新不舊,現在感染它的人沒剛出來的時候那麼多,但還是一直有人會遇到。
這是一個游戲盜號木馬,除了創建自啟動項、關聯EXE文件外,它還修改了很多其它關聯信息,較普通木馬在處理上稍微有些麻煩。這系列馬兒變種較多,剛出來的時候主程序文件的名字有csrss.exe、smss.exe和services.exe,之後又陸續出現了lsass.exe、winlogon.exe等等,這次舉例說的是個winlogon.exe的版本,圖標是紅底黑色龍頭圖案。
產生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一個winfiles文件類型,修改.EXE關聯指向它:
[HKEY_CLASSES_ROOT\winfiles]
創建的啟動信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木馬還修改了很多其它關聯信息,使用command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com木馬文件進行關聯,比如:快捷方式(.lnk)的關聯、控制面板文件(cplfile)的關聯、IE的關聯、HTTP/FTP/TELNET的關聯、HTML文件關聯、INF和SCR文件的關聯,還有驅動器(drive)和文件(file)的關聯、未知文件類型的關聯等。
這就是它和一般常見木馬在處理上不太一樣的地方,除了要刪除木馬文件和恢復啟動信息之外,還要從注冊表編輯器里恢復那些被木馬修改過的關聯信息。
處理時一般可以這樣操作:
可以藉助一下ProceXP和SREng工具,首先把它們都運行起來,然後用ProceXP結束木馬進程,再用SREng恢復EXE文件關聯,接下來刪除和恢復木馬的啟動信息,刪除掉那堆木馬文件。
以上操作完成後再打開注冊表編輯器,開始恢復被修改的關聯信息:
已經知道關聯信息被下面這些文件修改,那麼就在注冊表編輯器里分別查找它們,並把它們修改回對應的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的「command.pif」改為「rundll32.exe」
查找:explorer.com,把找到的「explorer.com」改為「explorer.exe」
查找:iexplore.pif,把找到的「iexplore.pif」,連同路徑一起改為對應的正確路徑「%ProgramFiles%\Internet Explorer\iexplore.exe」,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的「iexplore.com」改為「iexplore.exe」
查找:finder.com,把找到的「finder.com」改為「rundll32.exe」
查找:rundll32.com,把找到的「rundll32.com」改為「rundll32.exe」
這樣處理後基本上就算是恢復了,不過有些地方還是要注意一下,像注冊表值的「類型」,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默認)的「類型」應該是REG_EXPAND_SZ
最後再說一點,這一系列木馬的新變種還會修改一些安全軟體的程序,清除木馬後如果安全軟體不能運行還需要修復或升級一下相關的安全軟體。
附:D盤的「自動播放」
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是當你在雙擊D盤驅動器直接打開D盤時,autorun.inf中指向的D:\pagefile.pif木馬程序會被運行起來,這是系統「自動播放」的緣故,被病毒利用了而已,如果你的系統禁止了「自動播放」,那麼這種木馬(病毒)也就不能成功地利用這個方法來啟動木馬(病毒)程序。
右鍵點擊D盤驅動器圖標,從出現的右鍵菜單里選擇「打開」可以進入到D盤根目錄,然後直接刪除autorun.inf和pagefile.pif。
9. pagefile.pif病毒解決方案(要簡簡單一點的)
D盤右鍵第一項是自動播放,雙擊不能打開.
是Autorun.inf這個文件的問題,就像有些光碟的自啟動一樣,你雙擊不一定能進入光碟,而是彈出一個安裝的畫面,就是Autorun.inf這個文件里做了設置,很多病毒都會在這個文件里動手腳,先殺病毒。其他盤正常嗎?
確定無毒後打開我的電腦-工具-文件夾選項-文件類型, 找到「驅動器」,
點下方的「高級」-點選「編輯文件類型」里的「新建」-操作里填寫「open」(這個可隨意填寫)-用於執行操作的應用程序里填寫explorer.exe-確定
應該能解決問題!
還有個方法:滑鼠雙擊我的電腦-工具-文件夾選項-查看-顯示所有文件和文件夾,然後進入d盤,把autorun.inf刪除,重啟即可。
如果找不到autorun.inf,那麼
1、開始-->運行-->cmd(打開命令提示符)
2、dir autorun.inf /a (沒有參數a是看不到的,a是顯示所有的意思),此時你會發現一個autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系統、只讀、隱藏屬性,否則無法刪除。
4、del autorun.inf
重啟即可。
注意:要保證無病毒了才有用,要不還會生成這個文件
還有終極殺此度法,不錯的
本人以前曾中過此木馬,供參考:
(轉摘)關鍵詞: WINLOGON.EXE ExERoute.exe Torjan Program 木馬
一老馬,應該說半新不舊,現在感染它的人沒剛出來的時候那麼多,但還是一直有人會遇到。
這是一個游戲盜號木馬,除了創建自啟動項、關聯EXE文件外,它還修改了很多其它關聯信息,較普通木馬在處理上稍微有些麻煩。這系列馬兒變種較多,剛出來的時候主程序文件的名字有csrss.exe、smss.exe和services.exe,之後又陸續出現了lsass.exe、 winlogon.exe等等,這次舉例說的是個winlogon.exe的版本,圖標是紅底黑色龍頭圖案。
產生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一個winfiles文件類型,修改.EXE關聯指向它:
[HKEY_CLASSES_ROOT\winfiles]
創建的啟動信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木馬還修改了很多其它關聯信息,使用command.pif、explorer.com、iexplore.pif、 iexplore.com、finder.com、rundll32.com木馬文件進行關聯,比如:快捷方式(.lnk)的關聯、控制面板文件(cplfile)的關聯、IE的關聯、HTTP/FTP/TELNET的關聯、HTML文件關聯、INF和SCR文件的關聯,還有驅動器(drive)和文件(file)的關聯、未知文件類型的關聯等。
這就是它和一般常見木馬在處理上不太一樣的地方,除了要刪除木馬文件和恢復啟動信息之外,還要從注冊表編輯器里恢復那些被木馬修改過的關聯信息。
處理時一般可以這樣操作:
可以藉助一下ProceXP和SREng工具,首先把它們都運行起來,然後用ProceXP結束木馬進程,再用SREng恢復EXE文件關聯,接下來刪除和恢復木馬的啟動信息,刪除掉那堆木馬文件。
以上操作完成後再打開注冊表編輯器,開始恢復被修改的關聯信息:
已經知道關聯信息被下面這些文件修改,那麼就在注冊表編輯器里分別查找它們,並把它們修改回對應的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的「command.pif」改為「rundll32.exe」
查找:explorer.com,把找到的「explorer.com」改為「explorer.exe」
查找:iexplore.pif,把找到的「iexplore.pif」,連同路徑一起改為對應的正確路徑「%ProgramFiles%\ Internet Explorer\iexplore.exe」,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的「iexplore.com」改為「iexplore.exe」
查找:finder.com,把找到的「finder.com」改為「rundll32.exe」
查找:rundll32.com,把找到的「rundll32.com」改為「rundll32.exe」
這樣處理後基本上就算是恢復了,不過有些地方還是要注意一下,像注冊表值的「類型」,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默認)的「類型」應該是REG_EXPAND_SZ
最後再說一點,這一系列木馬的新變種還會修改一些安全軟體的程序,清除木馬後如果安全軟體不能運行還需要修復或升級一下相關的安全軟體。
附:D盤的「自動播放」
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是當你在雙擊D盤驅動器直接打開D盤時,autorun.inf中指向的D:\pagefile.pif木馬程序會被運行起來,這是系統「自動播放」的緣故,被病毒利用了而已,如果你的系統禁止了「自動播放」,那麼這種木馬(病毒)也就不能成功地利用這個方法來啟動木馬(病毒)程序。
右鍵點擊D盤驅動器圖標,從出現的右鍵菜單里選擇「打開」可以進入到D盤根目錄,然後直接刪除autorun.inf和pagefile.pif。