1. 怎么删除这个木马
首先先看下csrss.exe进程的说明:
进程文件:csrss or csrss.exe
进程名称:Client/Server Runtime Server Subsystem
进程类别:系统进程
进程描述:客户端服务子系统,用以控制Windows图形相关子系统。
csrss.exe病毒按病毒分类属于蠕虫病毒,它会以csrss.exe为文件名拷贝自己的副本文件到Windows目录下,并添加下面的注册表键值,以便每次Windows启动蠕虫会自动运行:HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SystemSARS32, with value "C:\WINNT\csrss.EXE"。
好了,了解完它的背景,该来对付这个小东西了
方法一:
第一步,结束病毒进程csrss.exe,注意是Windows\csrss.exe而不是Windows\System32\csrss.exe。
第二步,找到以下文件并删除(这些文件并非都有,可能只有几个,但只要有,就删!)
>> System\dxdiag.com
>> System\finder.com
>> System\msconfig.com
>> C:\\autorun.inf
>> Programfiles\Internet Explorer\iexplore.com
>> Programfiles\Common Files\iexplore.pif
>> Windows\1.com
>> Windows\csrss.exe
>> Windows\ExERoute.exe
>> Windows\explorer1.com
>> Windows\finder.com
>> Windows\Debug\DebugProgram.exe
>> system\command.pif
>> System\regedit.com
>> System\rundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,删!
第三步,打开注册表编辑器:
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\\Common Files\\iexplore.pif”的信息改为类似“%ProgramFiles%\\Internet Explorer\\iexplore.exe”
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”
第四步,删除病毒启动项:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
"Torjan Program"="%Windows%\\CSRSS.exe"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices]
"Torjan Program"="%Windows%\\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\\Applications\\iexplore.com]项和[HKEY_CLASSES_ROOT\\winfiles]项
第五步,重启计算机,完成。
方法二:
大家都有WINRAR吧?找到Windows\csrss.exe,在csrss.exe上右击鼠标,选择“添加到压缩文件”,这时WINRAR会出现提示窗“压缩文件名和参数”,选择“压缩后删除源文件”,确定,生成压缩文件,这时发现csrss.exe没了,不要高兴太早,现在只是把冲在最前面的病毒体删掉了,而那些幕后指使者们还在逍遥自在。运行注册表医生(要英文原版的,菜单单词都很简单),选择扫描修复所有错误,待修复完成后,重新启动计算机,csrss.exe病毒就被彻底赶出你的爱机了。
总结,第一个方法是大众方法,也是效果比较稳定的方法,第二个方法能解决掉这个病毒,但还不能保证对以后的变种一定有效。当然,这里说的是手动清楚方法,对于许多计算机初学者来说还是用杀毒软件来的比较方便,同时我也强烈建议朋友们即使手动清除了病毒,也要用杀毒软件彻底查一遍,以防万一
2. pif病毒
Pif 可以用来指向一个dos程序,也就是dos程序的快捷方式,比如可以连到一个病毒或者
木马. 它自己也可能就是一个蠕虫,让我们深入的研究一下...
[你要会点 DOS 下的 batch 语言(批处理文件) 和 知道怎样使用 Debug]
这里有下面提到的几个pif病毒文件,点击这里下载.在这察看源代码!
解决方法:把 pif 的文件名改成 sex.bmp, 编辑它.把你的病毒或者木马转换成 Debug 脚本.
Pif 文件将会把自己拷贝成 winstart.bat 在 %windir% 的目录中,下面就简单了...
你还要加入一些 debug 脚本到 winstart.bat 中,和其它的一些功能.
3. 如何清除page.pif病毒
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。
C.(慎用)使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试着删除病毒进程文件和相应的模块。(慎用)
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。
开始〉运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。
4. pagefile.pif 病毒如何解决
请下载安装360系统急救箱,在安全模式下自定义全盘扫描来查杀修复,先查杀一遍,查杀完成后重启电脑。
然后再打开360系统急救箱,选择修复功能(修复选项可全选),立即修复即可。希望可以帮上你。
5. 我的pendrive有autorun.inf,.pif和.exe的隐藏文件,也就是病毒,如何彻底删除
哥们你好,有些病毒在正常模式下是杀不掉的,你可以如下操作试试:
(1)重启后,F8 进带网络安全模式
(2)用360安全卫士依次进行:清除插件、清除垃圾、清除痕迹、系统修复、高级工具“开机启动项管理”一键优化、使用“木马查杀”杀木马,用360杀毒全盘杀毒。
如果还没清除用下以方案:
(3)重新启动,F8 进带网络安全模式
(4)用360系统急救箱试一试 ,希望能帮助你
6. u盘里 木马xftiaj.pif 是什么文件,怎么删除
雪花之家提供:http://blog.w5wk.com/
清除~.pif病毒
网摘1:(略)
具体步骤是:运行gpedit.msc打开组策略-计算机配置-windows设置-安全设置-软件限制策略-其它规则,在右边窗口空白处右键选择"新散列规则" .然后点击浏览找到木马文件,也就是c:\\windows\\smss.exe,安全级别选择"不允许的", 这样smss.exe就不会再运行了.
网摘2:
最近要注意:~.pif 病毒。
n多杀毒软件不报毒。我最近经常在客户的电脑中看到这个病毒。
运行:msconfig
在启动项里面有:~.pif
删掉后。马上又会生成。
原来在进程里有个:lsass.exe
系统的:lsass.exe 是放在/windows/system32/
这个lsass.exe 是放在/windows/system32/drivers/
关掉:第二个lsass.exe进程。然后。再去把第二个的lsass.exe删掉。然后。再把启动项的。~.pif 删掉。
对付~.pif的具体操作步骤:
1. 在"开始"菜单中点击打开"运行"对话框,输入"msconfig"后点"确定".查看"启动"标签下有没启动项目"~.pif",若有说明您的电脑已中此病毒,中了的话接着看下面的操作步骤.
2. 打开"我的电脑"-"c盘" ,在/windows/system32/drivers/ 目录文件夹中有没有lsass.exe文件,若有说明电脑不能正常使用是由它引起的.看见它可恶,但先不要删除它.
3. 再次打开"运行"对话框,输入"gpedit.msc",确定.
4. 打开组策略-计算机配置-安全设置-选中"软件限制策略".在"操作"菜单中选择"创建新策略".
5. 点选"其它规则",在右边窗口空白处右击,选择"新散列规则".
6. 点击"浏览…",浏览到可恶的c:/windows/system32/drivers/lsass.exe ,打开.安全级别选择"不允许的".确定下来,这样lsass.exe就不会再运行了.
7.最后像第1步一样,运行 msconfig ,去掉~.pif前的勾.确定下来重新启动电脑,大功告成
不懂请联系我,网站里有联系方式
7. 我电脑里中了名为pagefile.pif 的病毒,用卡巴删了之后,重起电脑,它又跑到E盘里了,怎么才能彻底删除掉呢
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。
3.开始---运行---cmd(打开命令提示符)
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,如下图:1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。
这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。
3.开始---运行---cmd(打开命令提示符)
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,如下图:
http://tk.files.storage.msn.com/_-LQ1Q-61a9psjqOLVtBZZ4g_PF_xoRJy_
运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
最后运行del autorun.inf
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,如下图:
http://tk.files.storage.msn.com/_2yLsTEZMKnaR5PjfwUoAJozhBJ_-jF2u9XFKblIl4dKLWIJmGXQ
这样你就会在D盘看到一个隐藏文件autorun.inf
这个文件的产生日期肯定是机器中毒当天(记得把只读属性取消)
将autorun.inf文件删除。
5.开始---运行---regedit(打开注册表)
查找pagefile.pif,并将其整个shell子键删除。
至此,病毒完美删除。
以上,如果有错漏的地方欢迎指正。
8. pagefile.pif每个盘符都有该怎么杀掉,这是什么病毒
是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个文件里动手脚,先杀病毒。其他盘正常吗?
确定无毒后打开我的电脑-工具-文件夹选项-文件类型, 找到“驱动器”,
点下方的“高级”-点选“编辑文件类型”里的“新建”-操作里填写“open”(这个可随意填写)-用于执行操作的应用程序里填写explorer.exe-确定
应该能解决问题!
还有个方法:鼠标双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,然后进入d盘,把autorun.inf删除,重启即可。
如果找不到autorun.inf,那么
1、开始-->运行-->cmd(打开命令提示符)
2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del autorun.inf
重启即可。
注意:要保证无病毒了才有用,要不还会生成这个文件
还有终极杀此度法,不错的
本人以前曾中过此木马,供参考:
(转摘)关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马
一老马,应该说半新不旧,现在感染它的人没刚出来的时候那么多,但还是一直有人会遇到。
这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。
产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]
创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。
这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。
处理时一般可以这样操作:
可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。
以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息:
已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的“command.pif”改为“rundll32.exe”
查找:explorer.com,把找到的“explorer.com”改为“explorer.exe”
查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe”
查找:finder.com,把找到的“finder.com”改为“rundll32.exe”
查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe”
这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默认)的“类型”应该是REG_EXPAND_SZ
最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。
附:D盘的“自动播放”
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。
右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。
9. pagefile.pif病毒解决方案(要简简单一点的)
D盘右键第一项是自动播放,双击不能打开.
是Autorun.inf这个文件的问题,就像有些光盘的自启动一样,你双击不一定能进入光盘,而是弹出一个安装的画面,就是Autorun.inf这个文件里做了设置,很多病毒都会在这个文件里动手脚,先杀病毒。其他盘正常吗?
确定无毒后打开我的电脑-工具-文件夹选项-文件类型, 找到“驱动器”,
点下方的“高级”-点选“编辑文件类型”里的“新建”-操作里填写“open”(这个可随意填写)-用于执行操作的应用程序里填写explorer.exe-确定
应该能解决问题!
还有个方法:鼠标双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,然后进入d盘,把autorun.inf删除,重启即可。
如果找不到autorun.inf,那么
1、开始-->运行-->cmd(打开命令提示符)
2、dir autorun.inf /a (没有参数a是看不到的,a是显示所有的意思),此时你会发现一个autorun.inf文件
3、attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性,否则无法删除。
4、del autorun.inf
重启即可。
注意:要保证无病毒了才有用,要不还会生成这个文件
还有终极杀此度法,不错的
本人以前曾中过此木马,供参考:
(转摘)关键词: WINLOGON.EXE ExERoute.exe Torjan Program 木马
一老马,应该说半新不旧,现在感染它的人没刚出来的时候那么多,但还是一直有人会遇到。
这是一个游戏盗号木马,除了创建自启动项、关联EXE文件外,它还修改了很多其它关联信息,较普通木马在处理上稍微有些麻烦。这系列马儿变种较多,刚出来的时候主程序文件的名字有csrss.exe、smss.exe和services.exe,之后又陆续出现了lsass.exe、 winlogon.exe等等,这次举例说的是个winlogon.exe的版本,图标是红底黑色龙头图案。
产生文件:
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\WINLOGON.EXE
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Common Files\iexplore.pif
%ProgramFiles%\Internet Explorer\iexplore.com
D:\autorun.inf
D:\pagefile.pif
新建一个winfiles文件类型,修改.EXE关联指向它:
[HKEY_CLASSES_ROOT\winfiles]
创建的启动信息有:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
"Torjan Program"="%Windows%\WINLOGON.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
原始值:
"Shell"="Explorer.exe"
除此之外,木马还修改了很多其它关联信息,使用command.pif、explorer.com、iexplore.pif、 iexplore.com、finder.com、rundll32.com木马文件进行关联,比如:快捷方式(.lnk)的关联、控制面板文件(cplfile)的关联、IE的关联、HTTP/FTP/TELNET的关联、HTML文件关联、INF和SCR文件的关联,还有驱动器(drive)和文件(file)的关联、未知文件类型的关联等。
这就是它和一般常见木马在处理上不太一样的地方,除了要删除木马文件和恢复启动信息之外,还要从注册表编辑器里恢复那些被木马修改过的关联信息。
处理时一般可以这样操作:
可以借助一下ProceXP和SREng工具,首先把它们都运行起来,然后用ProceXP结束木马进程,再用SREng恢复EXE文件关联,接下来删除和恢复木马的启动信息,删除掉那堆木马文件。
以上操作完成后再打开注册表编辑器,开始恢复被修改的关联信息:
已经知道关联信息被下面这些文件修改,那么就在注册表编辑器里分别查找它们,并把它们修改回对应的原始信息:
command.pif、explorer.com、iexplore.pif、iexplore.com、finder.com、rundll32.com
查找:command.pif,把找到的“command.pif”改为“rundll32.exe”
查找:explorer.com,把找到的“explorer.com”改为“explorer.exe”
查找:iexplore.pif,把找到的“iexplore.pif”,连同路径一起改为对应的正确路径“%ProgramFiles%\ Internet Explorer\iexplore.exe”,例如:C:\Program Files\Internet Explorer\iexplore.exe
查找:iexplore.com,把找到的“iexplore.com”改为“iexplore.exe”
查找:finder.com,把找到的“finder.com”改为“rundll32.exe”
查找:rundll32.com,把找到的“rundll32.com”改为“rundll32.exe”
这样处理后基本上就算是恢复了,不过有些地方还是要注意一下,像注册表值的“类型”,比如:
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
(默认)的“类型”应该是REG_EXPAND_SZ
最后再说一点,这一系列木马的新变种还会修改一些安全软件的程序,清除木马后如果安全软件不能运行还需要修复或升级一下相关的安全软件。
附:D盘的“自动播放”
D:\autorun.inf
D:\pagefile.pif
D:\autorun.inf的作用是当你在双击D盘驱动器直接打开D盘时,autorun.inf中指向的D:\pagefile.pif木马程序会被运行起来,这是系统“自动播放”的缘故,被病毒利用了而已,如果你的系统禁止了“自动播放”,那么这种木马(病毒)也就不能成功地利用这个方法来启动木马(病毒)程序。
右键点击D盘驱动器图标,从出现的右键菜单里选择“打开”可以进入到D盘根目录,然后直接删除autorun.inf和pagefile.pif。