【求助】T40出现奇怪问题

yyj1201

本来电脑好好的，这2天突然出现很多奇怪的问题，麻烦各位大虾给看看
1、现在d盘无法双击进入，双击d盘的话没有任何反映的，但是右键打开还是可以进入的，e盘没有这个问题。

2、d盘里面出现了一个pagefile的Ms-dos文件（Shortcut to MS-DOS Program），以前没有过，要是删除的话，双击d

盘就会显示图1的情况。

3、电脑重启，刚进入windows画面的时候就是出现c盘，什么文件找不到了～～

4。qq没办法进入，刚启动qq就自动退出程序，有时候本来以前可以打开的网站，现在没办法打开的了

电脑我进入access ibm恢复到出厂设置过，d盘也format过，用norton2003也杀过毒（ibm自带的，升级到最

新的病毒库）可以上面的问题还是存在
   
现在小弟苦闷万分，自己能想到的办法也做了，可就是解决不了，

希望那位大虾能给小弟帮助一二，在下真的是感激不尽～～～！！！！！

[ 本帖最后由 yyj1201 于 2006-3-14 20:06 编辑 ]

Alain3363

用XP安装盘把硬盘格了重新分区重装系统

dafei

最好备份了数据格式化重装系统。
我以前的移动硬盘也和你的D盘一样，好像和Tojian有关。
先用瑞星、金山或江民试试。

hrling2000

分区表出问题了,备份,重新分区

abenzhu

楼主中了病毒!完美解决方案如下:
我在网上找到的 :http://spaces.msn.com/sonycn/Blo ... lUJL_bisg!783.entry

贴出来:

事件篇
    12月27日左右中的毒，当时我以为通过系统还原的方式已经搞定了，实际上没那么简单。

病毒发作的时候

1.无法双击打开D盘，D盘变成了自动播放，只能靠右键选择"打开"

2.D盘生成2个文件，pagefile.pif  以及autorun.inf（这个是隐藏文件），打开autorun.inf文件，发现里面运行的是OPEN=D:\pagefile.pif

3.注册表里出现这个HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command  以及  HKEY_USERS\S-1-5-21-1123561945-854245398-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{05bea2b3-102d-11da-9a7a-806d6172696f}\Shell\AutoRun\command，里面启动的就是D:\pagefile.pif

4.C盘windows目录下生成1.com等文件

5.msconfig启动项无法打开（注册表可以打开）

6.杀毒软件无法运行，木马克星无法运行

7.进程里出现另一个winlogon.exe

8.点击Windows窗口左下脚"开始"，上方的IE图标无法显示，下面多了个易趣的图标并且链接指向某个网址（出于安全问题，这个网址我不能公开，可能是病毒的网址）

9.hijackthis这个方法，当时已经把进程里的病毒进程"C:\WINDOWS\WINLOGON.EXE"删掉了，但5秒钟后我重新启动hijackthis扫描的时候，这个进程又出现了。也就是说，它当时还关联了其他病毒程序，并且那个程序并没有在hijackthis扫描出来的列表里出现。此外，注册表和C:\WINDOWS\的目录里均没有WINLOGON.EXE这个程序。


疑惑篇
    我用系统还原的方法暂时保证了病毒不发作，但是双击D盘后还是会激活病毒。
    用了包括hijackthis以及ntsd -c q -p PID在内的各种方法都搞不定。
    在现在病毒没发作的时候，用木马克星和各种杀毒软件都查不出毒；而发作的时候，无法运行杀毒软件。

    有能完美解决该病毒的朋友（格式化C盘和D盘之类的就不用说了，我不打算用逃避的方法），请通过以下3种方式与我联系：、，以及在本空间任何地方留言。
    以上，谢谢。


解决篇
呃。。截止到2006年1月6日晚7点，该问题已被我完美解决。
我的解决方法如下：

1.找到D盘的pagefile.pif文件，看它创建的日期是什么时候。删除之。

2.用系统还原功能，把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。不过似乎有的人在这时候即使做系统还原也无效（提示是“系统没被修改，无法还原”）。
    这时候也可以用另外一种方法：用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件，文件大小限制在50K以内，文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件（包括pagefile.pif），日期和大小都差不多的，删除之。

3.开始---运行---cmd（打开命令提示符）
D: dir /a （没有参数A是看不到的，A是显示所有的意思） 此时你会发现D盘有一个autorun.inf文件，如下图：


运行attrib autorun.inf -s -h -r 去掉autorun.inf文件的系统、只读、隐藏属性
最后运行del autorun.inf

4.如果上面一步觉得不理解，那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹"，并且取消“隐藏受保护的操作系统文件”，如下图：


这样你就会在D盘看到一个隐藏文件autorun.inf，如下图：


这个文件的产生日期果然是我机器中毒当天12月27日（记得把只读属性取消）。如下图：


打开这个文件，可以看到它自动运行的内容，如下图：


将autorun.inf文件删除。

5.开始---运行---regedit（打开注册表）
查找pagefile.pif，并将其整个shell子键删除。如下图：


至此，病毒完美删除。

abenzhu

等待奖金ing....

ansen7185

学习,受教

yyj1201

谢谢上面的朋友～！！！

先照着上面的方法试试看，实在不行只能格盘重新分区了。

再问一下，要是format c盘，会不会没有了ibm一键恢复的功能？谢谢了～～

[ 本帖最后由 yyj1201 于 2006-3-15 00:18 编辑 ]

abenzhu

祝你好运！

abenzhu

ibm一键恢复是在隐藏分区的，可以大胆format。