单凭大小写是无法确定能否是病毒的。你看看d盘能翻开吗?若是打不开,能够判定是中毒了。参考一下以下内容:
病毒爆发的时候
1。无法双击翻开D盘,D盘酿成了主动播放,只能靠右键选择"翻开"
2。D盘生成2个文件,pagefile。pif以及 f(那个是隐藏文件),翻开 f文件,发现里面运行的是OPEN=D:/pagefile。
pif
3。注册内外呈现那个HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/{05bea2b3-102d-11da-9a7a-806d6172696f}/Shell/AutoRun/command以及HKEY_USERS/S-1-5-21-1123561945-854245398-1708537768-1003/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/{05bea2b3-102d-11da-9a7a-806d6172696f}/Shell/AutoRun/command,里面启动的就是D:/pagefile。
pif
4。C盘windows目次下生成 等文件
config启动项无法翻开(注册表能够翻开)
6。杀毒软件无法运行,木马克星无法运行
7。历程里呈现另一个winlogon。exe
8。点击Windows窗口左下脚"起头",上方的IE图标无法显示,下面多了个易趣的图标而且链接指向某个网址(出于平安问题,那个网址我不克不及公开,可能是病毒的网址)
9。
hijackthis那个办法,其时已经把历程里的病毒历程"C:/WINDOWS/WINLOGON。EXE"删掉了,但5秒钟后我从头启动hijackthis扫描的时候,那个历程又呈现了。也就是说,它其时还联系关系了其他病毒法式,而且阿谁法式并没有在hijackthis扫描出来的列内外呈现。
此外,注册表和C:/WINDOWS/的目次里均没有WINLOGON。EXE那个法式。
处理篇:
1。找到D盘的pagefile。pif文件,看它创建的日期是什么时候。删除之。
2。用系统复原功用,把系统复原到病毒产生之前的日期。如许系统历程里就暂时不会有病毒及其相联系关系的历程。
不外似乎有的人在那时候即便做系统复原也无效(提醒是“系统没被修改,无法复原”)。
那时候也能够用别的一种办法:用Windows的搜索功用别离在C盘和D盘查找病毒产生的当天文件,文件大小限造在50K以内,文件名不限。如许大要总共能找到4个摆布病毒的MS-DOS相关文件(包罗pagefile。
pif),日期和大小都差不多的,删除之。
3。起头---运行---cmd(翻开号令提醒符)
D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个 f文件,运行attrib f -s -h -r 去掉 f文件的系统、只读、隐藏属性
最初运行del f
4。
若是上面一步觉得不睬解,那么在"东西-文件夹选项-查看"中选中"显示所有文件及文件夹",而且打消“隐藏受庇护的操做系统文件”,如许你就会在D盘看到一个隐藏文件 f,那个文件的产生日期公然是我机器中毒当天12月27日(记得把只读属性打消)。翻开那个文件,能够看到它主动运行的内容,如下:
CODE:
[Copy to clipboard]
[autorun]
OPEN=D:/pagefile。
pif
将 f文件删除。
5。起头---运行---regedit(翻开注册表)
查找pagefile。pif,并将其整个shell子键删除。至此,病毒完美删除。
别的给出你一个专杀的软件:
在文件夹选项里翻开显示隐藏文件
D盘里就两个
D:\ f
D:\
C:\Program Files\Internet Explorer\
C:\Program Files\Common Files\
C:\WINDOWS\
C:\WINDOWS\
C:\WINDOWS\
C:\WINDOWS\Exeroud。
exe
C:\WINDOWS\Debug\*** Programme。exe
C:\Windows\system32\ 那个不要随便删,看看是不是和下面几个日期纷歧样而和其他文件日期一样,若是和其他文件大部门系统文件日期一样就不克不及删,当然系统文件必定不是那段时间的。
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\
C:\Windows\system32\a。
exe
晓得了那些文件,起首封闭所有法式,翻开法式附件里头的WINDOWS资本办理器,并在东西里的文件夹选项里头的查看里设置显示所有文件和文件假,打消隐藏受庇护操做系统文件,然后翻开起头菜单的运行,输入号令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
进入到DOS下的号令提醒符。
再打入以下的号令:
assoc 。exe=exefile (assoc与。exe之间有空格)
ftype exefile="%1" %*
如许exe文件就能够运行了。
运行“regedit”,翻开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer。
exe 1"恢复为"Shell"="Explorer。exe"
此办法虽繁些,但能够肃清此病毒。
我也碰到那个病毒,能帮你的就是那些了,建议你仍是重拆系统。
我是点激一张龙的图片传染的。
也能够参考那个上面的,本来是偷传奇密码的家伙,我说为什么显示的图表是龙呢,我起头在启动项中发现的。祝你好运!
一、完毕WINLOGON。EXE历程。
二、下载RegFix(一个注册表修复东西)。将Regfix。exe的后缀改为scr,按确定。双击 r,主动修复注册表次要文件联系关系项。
三、找到并删除下列文件(见附图)。
四、修改被木马窜改的注册表项:
1、HKEY_CLASSES_ROOT\。
lnk\ShellNew
"Command"=" appwiz。cpl,NewLinkHere %1"
删除"Command"="
2、HKEY_CLASSES_ROOT\。bfc\ShellNew
"Command"="%SystemRoot%\\system32\\ %SystemRoot%\\system32\\syncui。
dll,Briefcase_Create %2!d! %1"
将"Command"="%SystemRoot%\\system32\\ 改为"Command"="%SystemRoot%\\system32\\rundll32。exe
3、HKEY_CLASSES_ROOT\Applications\iexplore。
exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\ \" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" %1"
4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\ \""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\""
5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
@=" shell32。dll,Control_RunDLL \"%1\",%*"
删除@="
6、HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\ "改为@="%SystemRoot%\\explorer。
exe"
7、HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\ NETSHELL。DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32。
exe NETSHELL。DLL,InvokeDunFile %1"
8、HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\ \" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" %1"
9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\ \" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" -nohome"
10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
删除@="\"C:\\Program Files\\common~1\\iexplore。pif\" %1"
11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command
删除@=
12、HKEY_CLASSES_ROOT\inffile\shell\Install\command
删除@="%SystemRoot%\\System32\\
13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="
14、HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="
15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\ \"
16、HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="
17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\
18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute。
exe \"%1\" %*"
19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON。
EXE"
20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer。exe 1"改为"Shell"="Explorer。
exe"。
我能够向你保举一款更好的世界第一的杀木马的软件EWIDO 你能够尝尝 不错的 下载地址: 你下载后更新一下 然后进入平安形式(开机按F8) 停止全面的杀毒
祝你好运