, c& E: `& R0 E5 ]9.hijackthis这个方法,当时已经把进程里的病毒进程"C:\WINDOWS\WINLOGON.EXE"删掉了,但5秒钟后我重新启动hijackthis扫描的时候,这个进程又出现了。也就是说,它当时还关联了其他病毒程序,并且那个程序并没有在hijackthis扫描出来的列表里出现。此外,注册表和C:\WINDOWS\的目录里均没有WINLOGON.EXE这个程序。% f9 p2 U; B& H
, V% ~* l x: x" z B i! m' Z
解决篇:8 n1 f A3 z& B$ @ U8 |4 U
Q4 p0 f/ Y8 R/ ~4 Q: s1.找到D盘的pagefile.pif文件,看它创建的日期是什么时候。删除之。 ; C1 R | b# Z; L! h $ f) P" I# H' }; l- J2.用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 $ M( Z7 P2 C; V. x } \% }这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile.pif),日期和大小都差不多的,删除之。 7 l0 w1 I( P ]5 R0 b! f% c, C4 X6 Q1 ]! b8 X% Z
3.开始---运行---cmd(打开命令提示符)6 ]6 h( w- \+ M7 ^8 s- W. F9 n, N
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个autorun.inf文件,运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性 : X+ Y; l2 \$ \/ s \最后运行del autorun.inf $ |7 H* @* L) V: r. f3 f( m$ Z ! Q8 t/ R7 n* f & b5 p" i3 ~" W4 O4.如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件autorun.inf,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下:1 D/ n" @! j. W5 z! ?; q2 p
9 g6 m# u' j0 e9 n
[autorun] , X# X; O+ Q5 P* p" M6 M
OPEN=D:\pagefile.pif8 b$ e+ C1 N4 B' y9 R
复制代码
& O% I) u: W7 O. @3 n, U/ Z
将autorun.inf文件删除。/ d! B; w+ q4 }