磁碟机变种pagefile.pif病毒手动清除方法-不是俺的博客？

磁碟机变种pagefile.pif病毒手动清除方法

以前说过，这个pagefile.pif病毒有点厉害，俺前几天就跟它干上了。当时，俺周围的五台电脑都中了这个毒，而俺处于暴风的中心，而只好担负起杀毒的重任。今天才知道，这个病毒可能是磁碟机病毒的一个新变种。

这个病毒最让人不爽的地方是，它会杀掉各种杀毒软件进程，同时会关闭冰刃、360safe等常用安全工具，甚至会删除360安全卫士的安装文件。基本上，窗口里带有AntiVirus、Avast、pjf、Icesword、360safe 等等字样的软件都会被它杀掉，甚至连带有360安全卫士按钮的IE浏览器都不放过！另外，大多数小型进程管理工具处理不了病毒进程，而稍微强力一点的，比如超级兔子和优化大师的进程管理工具在运行的时候会停止响应。而且，安全模式文件会被病毒破坏，无法进入安全模式杀毒。这样，一般人用一般工具根本无法杀除病毒——强力的工具都被他干掉了，不强力的工具根本干不了它。
这个病毒还有其他症状（这儿是病毒发作视频），比如定期连接网络、修改注册表禁止显示系统文件、产生%systemroot%\system32\Com\ LSASS.EXE 和 %systemroot%\system32\Com\ SMSS.EXE进程等等。有的时候，可能是因为病毒自身bug，还会弹出“MCI PROGRAM APP；ICATION：LSASS.EXE -应用程序错误”的对话框。
上网搜pagefile.pif，大多数的结果都是针对两年前的老病毒，那些专杀工具根本不管用。这可咋办呢？

俺这里有解决方案！
这个方法是俺在与病毒作斗争的时候无意中发现的！俺当时找遍各种进程工具，妄图杀掉那个lsass进程——这当然不可能。当时俺找到了优化大师，发现优化大师显示这么个开机进程：
windows优化大师显示的启动项

图中的~.exe.72578.exe和~.exe.769171.exe是随机出现的，可能会出现一个或多个，名字中的那串数字也不固定。俺当时看到这两个玩意儿不像好东西，就把它禁了，这时候正好出现了那个“MCI错误”对话框，然后俺就重启了，重启后360就能正常打开了！
然后就监测到这些东西：

360安全卫士监测结果

“安全模式相关文件异常”说明病毒修改了安全模式文件，autorun.inf这个自不必说，那个C:\WINDOWS\system32\Com\lsass.exe必然就是毒源了。把这三项修复了，就基本上没问题了。
然后，冰刃就能正常打开了，就可以用冰刃删除其他病毒文件了。

回顾一下，切入点在哪？这么一个牛叉的病毒，为啥用优化大师就能杀掉呢？按理说，病毒也知道设立保护进程、定期检查和修复启动项，可这些都需要时间！只要会打这个时间差，让病毒来不及反应，不就能清除了？

￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥华丽的分界线￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥￥

这样，俺就总结出杀毒方法了！
首先，安装windows优化大师（当然其他能修改启动项的工具也可以），用优化大师清除掉病毒产生的启动项。清除成功后，以迅雷不及掩耳之势关闭计算机！一定要暴力关机，别用windows关机程序，这样病毒就没有时间重建启动项。如果是台式机，直接拍一下机箱上的reset键就行了；如果是笔记本，则要先在电源管理里面设置成“按下电源时无动作”，然后在清除启动项之后按住电源键强行关机（也可提前两秒按下，这样成功率较高）。重启之后，用360安全卫士就能很好地删除病毒。删除后别忘了用冰刃或者其他软件删除残留。

怎么样？很强很暴力吧？
当然，养成好习惯还是很重要的。比如，关闭优盘自动运行，打开文件夹时选择“文件夹”图标而不是鼠标双击，这些小技巧都是很好用的。
另外，希望杀毒软件和安全工具的作者要注意，最好能把标题栏什么的弄得高级一点，让病毒识别不了。俺把文件改名为361safe，病毒就不会删除了。冰刃的作者也可以注意一下。俺发现，如果事先打开冰刃然后运行病毒，冰刃是不会被杀死的。看来Icesword在标题栏和软件窗口里面闪那一下还是留下了后门，冰刃设下的Icesword.exe /c 这个保护机制，在病毒面前也不管用。
病毒的制造者则要方便得多，只要把“优化大师”放到被和谐的关键字列表里，并且加快重建速度即可。

卡巴死机爱好者论坛里面有这个病毒的分析，里面的解决方案是用windows PE工具盘，感觉比俺这个办法要麻烦。

另外，病毒会修改注册表，不让显示系统文件。可以按照这里的方法导入注册表文件修复。

高手们有啥意见的，可以放个炮让俺知道一下！

**嘿嘿，其实俺还有一个几乎是终极的防毒诀窍，先卖个关子，日后再叙！
新闻：avast的最新更新已经可以处理pagefile.pif，提示“Win32:Agent-PPS[Drp]”。