舉一反三 經典winlogon病毒查殺方法

此病毒雖已成為過去，但問題比較經典，現把查殺方法寫出來，舉一反三，希望對大家有所幫助!

這個木馬可能會釋放出QQ尾巴msinfo.rx是在C:\Program Files\Common Files\microsoft shared\msinfo\內，是隱藏文件，啟動QQ後會加載到QQ.exe、TIMPlatform.exe線程內，可在安全模式下刪除。另C:\Program Files\Internet Explorer\PLUGINS內也會生成systme.sys木馬文件，安全模式下可刪除!這是在清理同事機器時發現的，是否和“落雪”關聯，還不清楚，大家要注意下。

同事的機器種病毒了，自學教程，我檢查了一下，發現進程裡多出一個大寫的WINLOGON，是在winnt目錄下的，而正常情況下，這個進程應該是在winnt/system32目錄下的，看來一定有鬼。

查了下注冊表的啟動項，裡面果然有個異常的Torjan pragramme，可以換到安全模試下刪除後，重啟又會出現，看來這個東西不簡單。

上網搜了下，原來是個叫“落雪”的病毒，好美的名字啊。

下面把搜到的解決方法分享下：

這個進程是不是一個傳奇世界程序的圖標使用51破解版傳家寶會生產一個WINLOGON.EXE進程，正常的winlogon系統進程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl alt del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統用戶的話，表明可能存在木馬。

這個木馬非常厲害，能破壞掉木馬克星，使其不能正常運行。目前我使用其他殺毒軟件未能查出。那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這個病毒中的小角色而已，大家打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，呵呵，當然都是隱藏的，刪這幾個沒用的，因為她關聯了很多東西，甚至在安全模式都難搞，只要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了，呵呵，這段時間很多人被盜就是因為這個破解的傳家寶了，而且殺毒軟件查不出來，有人叫這個病毒為 ”落雪“ 是專門盜傳奇傳奇世界的木馬，至於會不會盜其他帳號如QQ，網銀 就看她高興了，呵呵，估計也都是一並錄制。不怕毒和要減少損失的最好開啟防火牆阻止除了自己信任的幾個常用任務出門，其他的全部阻擋，當然大家最好盡快備份，然後關門殺毒包括方新等修改過的51pywg傳家寶，和他們破解的其他一切外掛，這次嫌疑最大的是51PYWG，至於其他合作網站估計也逃不了關系，特別是方新網站，已經被證實過多次在網站放木馬，雖然他解釋是被黑了，但是不能排除其他可能，特別小心那些啟動後連接網站的外掛，不排除啟動器本身就有毒，反正一句話，這種啟動就連接某網站的破解軟件最容易放毒，至於什麼時候放，怎麼方，比如一天放幾個小時，都要看他怎麼爽，用也盡量用那種完全本地破解驗證版的，雖然掛盟現在好像還沒發現被放馬或者自己放，但是千萬小心，，最近傳奇世界傳奇N多人被盜號，目標直指這些網站，以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法，注意這個假的WINLOGON.EXE是在WINDOWS下，進程裡頭表現為當前用戶或ADMINISTRATOR.另外一個 SYSTEM的winlogon.exe是正常的，5自學網，那個千萬不要亂刪，看清楚了，前面一個是大寫，後面一個是小寫，而且經部分網友證實，此文件連接目的地為河南。

解決“落雪”病毒的方法

症狀：D盤雙擊打不開，裡面有autorun.inf和pagefile.com文件

做這個病毒的人也太強了，在安全模式用Administrator一樣解決不了!經過一個下午的奮戰才算勉強解決。 我沒用什麼查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。它所關聯的文件如下，絕大多數文件都是顯示為系統文件和隱藏的。 所以要在文件夾選項裡打開顯示隱藏文件。

D盤裡就兩個，搞得你無法雙擊打開D盤。C盤裡盤裡的就多了!

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe(忘了是不是這個名字了，紅色圖標有傳奇世界圖標的)

C:\WINDOWS\Debug\*** Programme.exe(也是上面那個圖標，名字忘了-_- 好大好明顯非隱藏的)

C:\Windows\system32\command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統文件日期一樣就不能刪，當然系統文件肯定不是這段時間的。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

對了，看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁盤，還有一個頭號文件!WINLOGON.EXE!做了這麼多工作目的就是要干掉她!!!

C:\Windows\WINLOGON.EXE

這個在進程裡可以看得到，有兩個，一個是真的，一個是假的。

真的是小寫winlogon.exe，(不知你們的是不是)，用戶名是SYSTEM，

而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。

這個文件在進程裡是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣!就連在安全模式下它都會 呆在你的進程裡! 我現在所知道的就這些，要是不放心，就最好看一下其中一個文件的修改日期，然後用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的， 連系統還原夾裡都有!! 這些文件會自己關聯的，要是你刪了一部分，不小心運行了一個，或在開始-運行裡運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來!

知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件裡頭的WINDOWS資源管理器，並在上面的工具裡頭的文件夾選項裡頭的查看裡設置顯示所有文件和文件假，取消隱藏受保護操作系統文件，然後打開開始菜單的運行，輸入命令 regedit，進注冊表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

裡面，有一個Torjan pragramme，這個明擺著“我是木馬”，刪!!

然後注銷! 重新進入系統後，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。 到D盤(注意不要雙擊進入!否則又會激活這個病毒)右鍵，選“打開”，把autorun.inf和pagefile.com刪掉，

然後再到C盤把上面所列出來的文件都刪掉!中途注意不要雙擊到其中一個文件，否則所有步驟都要重新來過! 然後再注銷。

我在奮戰過程中，把那些文件刪掉後，所有的exe文件全都打不開了，運行cmd也不行。

然後，到C:\Windows\system32 裡，把cmd.exe文件復制出來，比如到桌面，改名成cmd.com 嘿嘿 我也會用com文件，然後雙擊這個COM文件

然後行動可以進入到DOS下的命令提示符。

再打入以下的命令：

assoc .exe=exefile (assoc與.exe之間有空格)

ftype exefile="%1" %*

這樣exe文件就可以運行了。 如果不會打命令，只要打開CMD.COM後復制上面的兩行分兩次粘貼上去執行就可以了。

但我在弄完這些之後，在開機的進入用戶時會有些慢，並會跳出一個警告框，說文件"1"找不到。(應該是Windows下的1.com文件。),最後用上網助手之類的軟件全面修復IE設置

最後說一下怎麼解決開機跳出找不到文件“1.com”的方法：

在運行程序中運行“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"

大功告成!大家分享一下吧!