WINLOGON.EXE病毒，j近來（lái）在網絡很（hěn）流行，許多朋友都中了，許多殺毒軟件（jiàn）能查到，但是無論如何都無法清除。
　　
不知道什麽原因（yīn），這個（gè）病毒的中文譯（yì）名叫做“落雪”，又叫“飄雪”，很美吧？

　　我檢查了一（yī）下，發現進程裏多出一個大寫的WINLOGON，是在winnt或windows目錄下（xià）的，而正常情（qíng）況下，這個進程應該是（shì）在winnt或windows/system32目錄下的，此進程不言而知。注冊表下的啟動項，裏麵有個Torjan pragramme的啟動項目，不能徹底刪除。

以下是刪除的（de）方法

這個進程WINLOGON.EXE的用戶名是用戶自（zì）己，因此不可（kě）能是正常的（de）係統進程（chéng），正常的winlogon係統進（jìn）程，其用（yòng）戶名（míng）為“SYSTEM” 程序名為小寫winlogon.exe。而（ér）偽裝成該進程的木馬程序其用戶名為當前係統用戶（hù）名，且程序名為大寫的（de）WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且隻有一個winlogon.exe進程，其（qí）用戶名為“SYSTEM”。如果出現了兩個winlogon.exe，且其中一個為大寫（xiě），用戶名為（wéi）當前係統用戶的話，表明可能存在木馬。

這個木馬非常厲害，能破壞掉木馬克星（xīng）等許多著名的殺毒軟件，使其不能正常運行（háng），就算能正常運行，也會錯誤殺（shā）毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯，人（rén）工也（yě）可以看出，那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這（zhè）個病毒中的小角色而已，大家用鼠標右鍵【打開】，打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，這（zhè）些當然都（dōu）是隱藏的，刪這幾個沒用的，因為她關聯了很多東西，甚至在（zài）安（ān）全模式都不能刪死，隻要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了。而且這（zhè）段時間很多人（rén）的帳號被盜就是因為（wéi）這個（gè）破解的傳家寶了。

我分析了一下這個木馬的資料，連接是通向河南（nán）和天津的某（mǒu）一地區，看來是國內的。而且她很有趣，如果你機子上有傳（chuán）奇等遊戲，必然（rán）惹來她的親吻，那麽說QQ之類的（de）帳號密碼會不會被泄漏，這個不清楚，但起碼我有些朋友已經被盜了。

　　解決“落雪”病（bìng）毒的方法

症狀：D盤雙擊打不開，而且裏麵（miàn）有autorun.inf和（hé）pagefile.com文件
此病毒（dú）的製作者很了解係統（tǒng）的運（yùn）作，因此此兩個（gè）文件（jiàn）難以刪除，在安（ān）全模式用Administrator一樣解決不了（le）！經過一個下午的奮戰才算勉強解決。 我沒用什麽查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。它所關聯的（de）文件如下，絕大多數（shù）文件都是（shì）顯示為（wéi）係（xì）統文件和隱藏的。 所以要在文件夾選項裏打開顯示（shì）隱藏文件。

D盤裏就兩個，搞得你無法雙擊打開D盤。C盤很多相關文件程（chéng）序

D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（傳奇的圖（tú）標，很漂亮）
C:\WINDOWS\Debug\*** Programme.exe（也是上麵（miàn）那個圖標，名字每台機子（zǐ）都不同，但是明顯是非隱藏的（de））
C:\Windows\system32\command.com 這個不要（yào）輕易刪，看看是不（bú）是和下麵幾個日期（qī）不一樣而和其他文件日期一（yī）樣，如果和其他文件大部分係統文件日期一（yī）樣就不能刪（shān），當然係統文（wén）件肯定不是這段時間的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

值（zhí）得注（zhù）意的是：看看這些文件的日期，看看其他地方還有（yǒu）沒有（yǒu）相同時間（jiān）的文件（jiàn）還是（shì）.COM結尾的可疑文件，小心不要運行任何程序，要不就又（yòu）啟動了，包括雙擊磁盤，還有一個頭（tóu）號文件！WINLOGON.EXE！做（zuò）了這麽多工作目的就（jiù）是要離開她的親吻！

C:\Windows\WINLOGON.EXE
這（zhè）個在進（jìn）程裏明顯可以看（kàn）得到，有兩個，一個是真的，一個是假的。
真的是小寫winlogon.exe，（不知你們的是不是），用（yòng）戶名是SYSTEM，
而假的（de）是大寫的（de）WINLOGON.EXE，用戶名是你自己（jǐ）的用戶名（míng）。
這個文件在進程裏是中止（zhǐ）不了的，說是關鍵進程無法中止（zhǐ），搞得（dé）跟真的一樣！就連在安全模式下它都（dōu）會
呆（dāi）在你的進程裏！ 我現在所知道的就這些，要是不放心，就最好看一下其（qí）中一（yī）個文件的修改日期，然後用“搜索”搜（sōu）這天修改過的文件，相同時間的肯定會出來一大堆的， 連（lián）係統（tǒng）還原夾裏都有！！ 這些文件會自己關聯的，要是你刪了一部分，不小心（xīn）運行了一個，或在開（kāi）始－運行裏運行msocnfig，command，regedit這些命令，所有的（de）這些文件全會自（zì）己補充回來！

知道了這些文件（jiàn），首（shǒu）先關閉可以關閉的所有程序，打開程序（xù）附件裏頭的WINDOWS資源管理器，並在上麵的工具（jù）裏頭的文件夾選項裏頭的查看裏設置顯示（shì）所有文件和文件假，取消隱藏受（shòu）保護操作係統文件，然後打開開始（shǐ）菜單的運行，輸入命（mìng）令 regedit，進（jìn）注冊表（biǎo），到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裏麵，有一個Torjan pragramme，這個明擺著“我是（shì）木（mù）馬（mǎ）”，刪！！
然後注銷！ 重（chóng）新進入係（xì）統後，打開“任務管理（lǐ）器”，看看有沒rundll32，有的（de）話先中止了，不知這（zhè）個是真還是假，小（xiǎo）心為好。 到D盤（注意不要雙擊進入！否則又會激（jī）活這個病毒）右鍵，選【打開】，把autorun.inf和pagefile.com刪掉，
然後再到C盤把上麵所列出來的文件都刪掉！中途注意（yì）不（bú）要雙擊（jī）到其中一個文件，否則所有步驟都要重新來過！ 然後（hòu）再注銷。
我在奮（fèn）戰過程中，把那些文件刪掉後，所有的exe文件全都打不開了（le），運行cmd也不行（háng）。

打開我的電腦點工（gōng）具==>文件夾（jiá）選項==>文件類型==>新建exe擴展名，點高級選（xuǎn）應用程序。
即可運行

但我在弄完這（zhè）些之後，在開機的（de）進入用戶（hù）時會有些慢，並會跳出一個警告框，說文件"1"找不到。（應該是Windows下的1.com文件。）,最後用System Repair Engineer看情況修理一下（xià）係統的啟動項、係統關聯等。
最後說一下怎（zěn）麽解決（jué）開機提示找不到（dào）文件“1.com”的方法：
在運行程序中運行（háng）“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢複為"Shell"="Explorer.exe" 當然這也是啟動項罷了。