找回密码
 加入华同
搜索
黄金广告位联系EMAIL:[email protected] 黄金广告[email protected]
查看: 735|回复: 3

请教一个新问题,,呵呵

[复制链接]
发表于 2006-8-3 09:34:06 | 显示全部楼层 |阅读模式
我的系统装在C盘,,其他的软件游戏在D盘,,就 连文档,IE临时文件我都移到了E盘(电脑40G..分了3个区),,最近在D盘下,无意中发现一个名为"pagefile"的文件,,说是系统文件,,而且是隐藏的,,大小哟600M呢,,电脑硬盘不大,,无故被用了600M,,心里很心痛,,,请问这个是什么文件啊??可以删吗???系统文件不都应在系统盘吗,,怎么会跑到了其它分区???
发表于 2006-8-3 11:11:02 | 显示全部楼层
从字面上理解应该是页面使用文件,也就是通常说的虚拟内存的文件,这个文件是计算机生成的。当计算机的主存空间加上虚拟内存就会给用户一个印象好象工作在一个大的空间中,这都是利用了程序的局部性原理,总之,这个文件是不会删除的,即使删除也会重新建立的。. F& a( ]0 W& z  c( [; S
不过更具体的需要这个文件的扩展名。如果是.sys 的话,就是上面说的虚拟内存的文件,可以更改大小并且禁用,但是并不推荐这么做。如果是.pif并且有一下症状就说明是病毒了:解决病毒的方法如下:; @! E% D2 m. i
病毒发作的时候
: o; i' h+ w' z7 a, U8 \4 `- K& N, g. O! c; j. |3 T- Y
1.无法双击打开D盘,D盘变成了自动播放,只能靠右键选择"打开"
+ }, N1 T) }( \& \" }. A$ u. m0 K0 Q' C2 B
2.D盘生成2个文件,pagefile.pif以及autorun.inf(这个是隐藏文件),打开autorun.inf文件,发现里面运行的是OPEN=D:\pagefile.pif
7 \, M9 Q* g" q& D  B) o, j0 \  K; q( i
/ N! u+ h" ~& {/ t. e1 R3.注册表里出现这个HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command以及HKEY_USERS\S-1-5-21-1123561945-854245398-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command,里面启动的就是D:\pagefile.pif
' p; G5 Y9 Y; A/ d0 ?. {8 x( ]
  k7 z, q# r6 `0 I, r, c$ m4.C盘windows目录下生成1.com等文件
! o6 u+ u" c1 p1 R& `. Z
, n" o; P+ O9 _: d, r5.msconfig启动项无法打开(注册表可以打开)8 t+ E6 V6 h/ {) E( H/ d

& w. a5 \+ c) V$ |( O6 d6.杀毒软件无法运行,木马克星无法运行
# `1 t: O+ U* Y- Z( ]1 X/ I% ~; W* h4 r; {+ ?7 [' `/ G- {( Y0 X
7.进程里出现另一个winlogon.exe
: C9 ^3 R- P9 G! U6 C" P
. Z7 {  k  Z' V2 {8 l  r) y9 S" k: s8.点击Windows窗口左下脚"开始",上方的IE图标无法显示,下面多了个易趣的图标并且链接指向某个网址(出于安全问题,这个网址我不能公开,可能是病毒的网址)
  K( K: O$ N" u3 S5 T
' Q/ `9 m7 K2 N$ e" i3 b9.hijackthis这个方法,当时已经把进程里的病毒进程"C:\WINDOWS\WINLOGON.EXE"删掉了,但5秒钟后我重新启动hijackthis扫描的时候,这个进程又出现了。也就是说,它当时还关联了其他病毒程序,并且那个程序并没有在hijackthis扫描出来的列表里出现。此外,注册表和C:\WINDOWS\的目录里均没有WINLOGON.EXE这个程序。
6 P; q/ m9 `% u6 o$ }- z5 k7 s& t: c! p
解决篇:3 D- }" T. l5 f" n& Y1 J( k
5 t) o$ V* a1 M$ p
1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。
+ @" U& L5 _2 b8 I/ V; T* R% a: y. v3 _. t4 b0 d
2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。
) Z) G0 h, X; m5 z2 Z这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。" [8 I2 X& c9 W! g1 ]8 y

0 _2 d. c; ^: e5 M+ T1 Q5 \) l. ]( h3.开始---运行---cmd(打开命令提示符)% p9 O, O4 N8 t+ k  v
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性: u5 Z' p# N5 v" _0 _6 a+ ]" w
最后运行del autorun.inf
) h8 M' V( L& V; A7 A) f; N* l
6 R/ T. }% }" K6 ~6 P+ f- Z( A  n5 I9 M
4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:
, n: t% C2 R8 f4 Z' b

  1. : t& g% d: p) D- r
  2. [autorun]/ {4 f2 e0 c* ~! }/ b& I6 R
  3. OPEN=D:\pagefile.pif
    ! P0 @* X1 A  Y* m. t" ]- C
复制代码
! `( \" ?! r- }
将autorun.inf文件删除。5 l8 H1 z  V6 Z/ O5 {
1 _. N& Z- n! F% _5 ?+ q$ H
5.开始---运行---regedit(打开注册表)
1 x( ]8 g% x; A* j查找pagefile.pif,并将其整个shell子键删除。至此,病毒完美删除。
  n8 c+ {) }7 \) K8 f$ w
1 O4 _. V+ c7 v5 {1 a[ 本帖最后由 rulingdanny 于 2006-8-3 11:15 AM 编辑 ]
回复

使用道具 举报

发表于 2006-8-3 11:13:15 | 显示全部楼层
pagefile 是XP用的磁盘虚拟内存文件,你就是删除了还是会出现。可以在系统属性->高级->性能->虚拟内存 改小一些,一般是用实际内存的2.5倍。
回复

使用道具 举报

 楼主| 发表于 2006-8-3 13:17:29 | 显示全部楼层
恩,,明白了,,谢谢,,,
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入华同

本版积分规则

Archiver|手机版|小黑屋|华人同志

GMT+8, 2025-4-29 16:50 , Processed in 0.075411 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2025 Discuz! Team.

快速回复 返回顶部 返回列表