Question

中病毒了，很严重，求高手指点！！！！！

电脑中了病毒，开始认为是AV终结者，用专杀杀了杀，老能杀出AUTORUN.INF和Broken_SafeBoot,杀完重起后还有，后来又发现有pagefile.pif，进程里还有两个smss.exe和两个lsass.exe。现在电脑的症状是卡巴斯基打不开，360因为也打不开所以已经删了，用火狐上360的网站也不行，用百度查“如何杀pagefile.pif”后只要点有详细方法的结果就自动关网页，真是智能病毒，我现在该怎么办？求各位高手帮忙！！！！最好不要格机子的方法，谢谢了！！！！！！

Answer 1

估计你中的是禽兽病毒！ 我有个禽兽专杀的工具，但是这不能上传附件吧~ 我把内容给你！ 复制以下内容 保存为.bat批处理文件 然后运行 按提示操作！~
@echo off
title 123
color 0a
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 该病毒资料
echo 瑞星将该病毒定义为：Worm.Win32.DownLoad.b
echo.
echo 该病毒建立的包括的源文件如下:
echo.
echo 病毒文件全路径 大小(字节)
echo c:\autorun.inf 159
echo c:\niu.exe 30,625
echo c:\WINDOWS\system32\Autorun.inf 159
echo c:\WINDOWS\system32\crsss.exe 30,625
echo 其它所有分区:\autorun.inf 159
echo 其它所有分区:\niu.exe 30,625
echo.
echo autorun.inf文件里的内容
echo.
echo [AutoRun]
echo.
echo open=niu.exe
echo shell\open=打开(^&O)
echo shell\open\Command=niu.exe
echo shell\open\Default=1
echo shell\explore=资源管理器(^&X)
echo shell\explore\Command=niu.EXE
echo.
echo 该病毒的后果:
echo 你的杀毒软件会无法打开,另外你的系统时间会被修改成2000年,无法显示隐藏文件
echo 另外，该病毒会把注册表项删除，导致你进入安全模式就蓝屏。
echo 可能还有其它的情况,我这里就不详细说明了.
echo.
ECHO 注意：该病毒会将你的系统时间修改为2000年，而这个杀毒程序的会将你的时间
echo 修改为2007年，你如果是在2007年使用这个的话，系统时间就不用修改了，否则
echo 杀毒后请自己重新设置系统时间。
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
set /p tmp=以上是该病毒的信息，如果要清除该病毒，请回车键开始杀毒...

rem 结束病毒进程
for %%d in (niu.exe,crsss.exe,reg.exe) do (
taskkill /im %%d /f
cls
)

rem 把时间改成2007年
FOR /F "eol=; tokens=1,2,3 delims=- " %%i in ('date /t') do (
date 2007-%%j-%%k
)

rem 去除病毒源文件的 系统、隐藏、只读 属性,然后删除它们。
for %%d in (Autorun.inf,crsss.exe) do if exist "%systemroot%\system32\%%d" (
attrib -s -h -r "%systemroot%\system32\%%d"
del "%systemroot%\system32\%%d" /q
)
rem 添加进入安全模式的注册表项
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\ControlSet003\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /ve /d DiskDrive /f
cls

rem 解除对任务管理器的禁用
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableTaskMgr /f

rem 解除禁用Windows更新程序
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate" /v DisableWindowsUpdateAccess /f

rem 添加显示隐藏文件的注册表项
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v RegPath /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Type /d "radio" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v ValueName /d "Hidden" /f

rem 删除病毒添加的启动项
for %%f in (crsss) do (
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v %%f /f
)

rem 删除其它盘根目录下的病毒文件
for %%f in (autorun.inf,niu.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do (
if exist %%d:\%%f (
attrib -s -h -r %%d:\%%f
del %%d:\%%f /q
)
)
)

rem 删除病毒在注册表中添加的关联
if exist test.123 del test.123
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options">test.123
for /f "tokens=* delims= skip=4" %%j in (test.123) do (
reg delete "%%j" /v debugger /f
cls
if exist test.123 del test.123
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 正在清除由病毒添加的注册表项,请稍候...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
)
if exist test.123 del test.123
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /d "ntsd -d" /f
cls

color a0
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 病毒清除完毕，按回车键开始解决分区无法双击打开的问题.
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p test=
cls
@echo off
title 123--解决分区无法打开
color a0
rem 删除引起磁盘无法双击打开的autorun.inf文件
for /d %%i in (c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i:\autorun.inf (
cacls %%i:\autorun.inf /c /e /p everyone:f
attrib -s -h -r %%i:\autorun.inf
del %%i:\autorun.inf /q
)
rem 进行磁盘检查，恢复双击打开功能
for /d %%i in (d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z) do if exist %%i: chkdsk %%i: /f /x
cls
color ec
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
echo.
echo 操作结束,按回车键退出该程序...
echo.
echo ▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓▓
set /p temp=
:exit
exit
希望可以帮到你 呵呵~~

Answer 2

进安全模式杀,不过不可以上网,也可以进连网络的安全模式,可以上网.

Answer 3

用GHOST还原系统盘

Answer 4

对,在安全模式下杀,不行的话,就从别的电脑把Autorun和pagefile.pif专杀拷回去用

Answer 5

上面的朋友乱粘贴，根本没重点，种了就下专杀工具，，手动也可以，多看，AUTORUN.INF这些，去安全模式杀下，，推荐avgas-setup-7.5.0.50 ，，捷克的木马大师，还原系统也是可以的