最近在浏览一网站的webshell时,不慎中毒。
死机后重启,发现D盘无法正常访问,双击后没有反映,其他盘正常。右键--打开后,发现多出一个文件,前提:打开了显示所有文件(工具--文件夹选项--查看--显示所有文件和文件夹选中,然后确定),文件名为“pagefile.pif”,马上查毒,没有病毒..我用的是正版金山毒霸2006。正奇怪时发现金山网镳的任务栏图标小时了,但毒霸主程序没有结束掉。马上打开任务管理器,没有发现可疑进程,删除“pagefile.pif”文件,OK一下就删除了。再打开D盘,显示“找不到pagefile.pif,指定位置:”,马上右键打开D盘,没有找到AutoRun.inf(小常识:我们都知道平时一些游戏光盘可以自动启动,那是因为在光盘下有个"AutoRun"的文件,它是自动运行的一个基础文件。可是D盘里没有这个文件啊。马上搜索pagefile.pif,结果,搜索为系统见,才恍然大悟,马上“工具--文件夹选项--查看--去掉“隐藏受保护的操作系统文件”然后确定”,OK,多出一个Auturun文件,我们知道有系统属性的文件是无法直接删除的,我们要剔除它的系统属性,打开CMD(开始--运行--CMD.exe),输入:attrib D:\autorun.inf -s -h -r回车,然后直接删除文件。
OK基本工作已经完成,然后我想换个杀毒软件试试能不能扫到病毒,刚打开IE就发现D盘那两个文件又出来了!OK绑定了exe文件,恢复exe文件关联,在CMD下输入assoc.exe=exefile,回车。这时,恢复了文件关联。下载木马克星,晕!被杀,用瑞星在线杀毒([url]www.3721.com[/url] 不是 [url]www.rising.com.cn)[/url],全面扫描C,D两盘,杀掉病毒,然后删除两个D盘的文件,最后恢复下exe文件关联,在注册表里然后删除相关注册表键值:进入注册表以后,展开HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell,删除shell下的autorun键值,刷新以后,此时就应该可以打开盘符了。
可能有多个!!
OK全部检查下,保证D盘里没有文件存在,exe文件关联正确,注册表里没有启动项。
重启OK!
一个病毒就这么解决了。如果它还启动,请使用工具清除掉Trojan Program 的开机启动。就OK了!
后来经搜索整理,搜索到网上流传着下面的清除方法,本人未经测试,请各位自行斟辨。
一、 Trojan.PSW.Lmir.iux
这个坏家伙,不知道谁在我电脑上上了,把这个坏家伙给引来了,起初我还不知道,我一看怎么电脑越来越慢了呀。看了下进程,怎么C:\WINDOWS\services.exe有这个鸟东西呀。就知道中马了,然后就删呀删,没想到这家伙关联了这么多文件,而且还关联了IE。
昨天还浪费了我点时间,诺顿查不了这个家伙晕死了,然后拉出可怕的瑞星在线杀毒,查出一共有N个文件,昨天就是不知道一共有几个文件,所以怎么清也清不干净呢。
没想到这家伙还有蛮多个的呀。 写了个BAT把它给K了。
@echo ===============================================
@echo Delete Trojan.PSW.Lmir.iux By o__4pollo
@echo ===============================================
@echo Start...
@echo ===============================================
@echo Execute ATTRIB...
@echo off
attrib -s -r -a -h c:\windows\1.com
attrib -s -r -a -h c:\windows\services.exe
attrib -s -r -a -h c:\windows\explorer.com
attrib -s -r -a -h c:\windows\finder.com
attrib -s -r -a -h c:\windows\exeroute.exe
attrib -s -r -a -h c:\windows\debug\debugprogram.exe
attrib -s -r -a -h c:\windows\system32\regedit.com
attrib -s -r -a -h c:\windows\system32\dxdiag.com
attrib -s -r -a -h c:\windows\system32\msconfig.com
attrib -s -r -a -h c:\windows\system32\command.pif
