瑞星卡卡安全论坛
蓝之 - 2007-12-20 10:53:00
在系统各磁盘里发现autorun.inf和Pagefi1e.sys病毒文件,杀不去!
我用了瑞星杀毒软件、360的U盘专杀,超级巡警,USBcleaner,金山的AV终结者专杀均不能清楚此文件,瑞星最新版根本查不出此病毒.
其中pagefi1e.sys文件的"fi1e"里1是数字1,,而不是英文的"L"~
因这两个文件不允许打开,不允许压缩,,所以不能上传.
附件是sreng的扫描报告.
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)附件:
99349720071220104236.txt
天月来了 - 2007-12-20 11:11:00
日志中没看到有autorun.inf和Pagefi1e.sys
你抓个那文件的图来看看。
大点的图。
天月来了 - 2007-12-20 11:39:00
这个什么?为什么要放在桌面呢?
==================================
正在运行的进程
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\AST\AST\AST.EXE
——————————————————————————
这个服务不常见:
==================================
服务
[Portable Media Serial Number Service / WmdmPmSN][Others/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MSGM.DLL><N/A>
——————————————————————————
至于那些磁盘根目录下的文件,可以用WinRAR打开各个磁盘,删除每个磁盘根目录下的那两个文件,不要用其他方式打开磁盘。
蓝之 - 2007-12-20 11:44:00
正在运行的进程
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\AST\AST\AST.EXE
这个是"超级巡警"杀毒软件的进程.
用你的方法删不了autorun.inf文件,,可以删除pagefi1e.sys文件,但是删后三秒又重新出现,删不尽~!
这个病毒在XP系统里没有什么大的影响,但是在win98里不能启动系统,不能出现桌面,因我们是银行系统必须要用win98,所以必须解决这个病毒.麻烦你们了~
我上传了pagefile.sys文件,,解压后可以看见.
附件:
99349720071220113852.rar
天月来了 - 2007-12-20 11:51:00
你那两个系统??????
在XP系统下能删除吗???
蓝之 - 2007-12-20 11:53:00
我就是在XP里删,,,不能删除,,98进不去.恢复98的GHOST备份只能启动系统,,再重新启动又不能打开了,,,
tankk - 2007-12-20 11:57:00
关注!
楼主要不用xdelbox删除试试~
天月来了 - 2007-12-20 11:58:00
那你立即恢复98的GHOST备份,再进98系统,绝不能使用原机任何文件,绝不随意打开任何磁盘。
网上下载WinRAR安装后,用WinRAR打开各个磁盘,删除每个磁盘根目录下的Autorun.inf文件,
以及Autorun.inf文件内容所指向的可执行文件。
包括所有移动硬盘或U盘等移动存储设备的根目录下的这类文件。
注意插入移动硬盘或U盘等移动存储设备时,必须先按住“Shift”键不放,等系统硬件检测完毕,才可以松开此键,再用WinRAR打开删除。
天月来了 - 2007-12-20 12:00:00
或者这样,用2008的瑞星的主动防御禁止任何程序向F盘里创建文件,然后再去删除那玩意,看看主动防御提示什么东西要在那里创建Pagefi1e.sys
以毒攻毒攻无不克 - 2007-12-20 12:05:00
请问是在安全模式下用的专杀么.
Leoooo - 2007-12-20 13:43:00
这个病毒会感染你本地的EXE文件,在你运行这些被感染的文件的时候会同时运行病毒程序。同时会在你的系统目录下释放自己本身命名为MSGM.DLL,并会在内存中注入守护线程,保护病毒文件不被删除。
该问题会在今天下午解决。到时候升级病毒库就可以解决该问题。
如果要手动删除可能比较麻烦,需要先暂停内存中的守护线程或者使用重启后删除的策略,删除每个盘下的pagefi1e.sys和windows以及saystem32下的MSGM.DLL文件。
或者你可以进入安全模式删除试试?
天月来了 - 2007-12-20 14:01:00
难怪日志中见到不常见的MSGM.DLL
服务里也见有这项。
tankk - 2007-12-20 14:28:00
喔噻! 学习!!!!
看来是忽略了MSGM.DLL
蓝之 - 2007-12-20 15:30:00
有一台机器是不能连接到网络使用瑞星的,我想手工删除,我在电脑里用搜索功能搜索MSGM.DLL文件,在几个盘里找到了几十个MSGM.DLL文件,是否需要全部删除(C盘只有你说的那两个路径里有两个文件).
以毒攻毒攻无不克 - 2007-12-20 15:32:00
把哪台不能连接到网络的日志发下
天月来了 - 2007-12-20 15:45:00
先删除系统盘的,但是不建议彻底删除,应该压缩备份后再删除。
其他盘的也可以这样操作。
蓝之 - 2007-12-20 16:58:00
其实每台机器除了C盘其他盘都有很多这个MSGM.DLL文件的,因为考虑它都是在我的报表软件目录里,所以暂时先不删除C盘以外的,由杀毒软件来查杀它.
1、我刚才进入瑞星升级后还是不能查杀这个病毒.
2、我全部删除MSGM.DLL文件和autorun.inf还有pagefi1e.sys文件但是如果是"exe"感染型病毒会不会还有这种程序存在于系统内?会不会再次感染?
3、我已经把另外一台机器的报告附上,请查看.谢谢
附件:
99349720071220164750.txt
天月来了 - 2007-12-20 17:15:00
受不了了
等杀毒软件更新到可以彻底杀了再说吧
其他电脑里也是这个WINDOWS\system32\文件夹里的MSGM.DLL
蓝之 - 2007-12-20 18:43:00
刚才我在WIN PE 里把所有上述三个文件删完,win98启动时提示不能启动“MSGM.DLL”,,按“确定”后进入了系统,并发现报表软件重新安装后能够正常使用了。
但是瑞星还是不能杀它,希望能尽快查杀。
谢谢你们的帮助
非常感谢~~
zhzhangjing - 2007-12-24 10:57:00
我的解决办法:
1、进入安全模式
2、删除各分区下的autorun.inf和Pagefi1e.sys文件
3、删除%system32%下的MSGN.DLL文件
4、删除注册表以下分支
(1)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPMSN
(2)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPMSN
(3)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmPmSN
(4)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmdmPmSN
5、搞定
希望对你有所帮助^_^
zhzhangjing - 2007-12-24 10:58:00
补充:
如果删除注册表分支时提示权限不够,可以在欲删除的分支上点右键,选择“权限”,在“完全控制”“允许”上打勾,确定。然后即可删除。
Leoooo - 2007-12-24 11:13:00
20.24.01解决该问题,恢复被感染文件和删除病毒文件修复系统
1
© 2000 - 2026 Rising Corp. Ltd.