winlogon查杀技巧：WINLOGON病毒(落雪)的解决办法

　　正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ，然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

　　表现症状：双击盘符无法打开，或出现自动播放，在盘根目录下出现autorun.inf和pagefile.***文件，同时修改了大量的文件关联。打开任务管理器，出现大写的WINLOGON.EXE,该东东为盗号马，曾见过对该马儿的定义名称，为“落雪”，挺好听的名字噢~

　　在系统里存在的病毒文件及被修改的文件为:

　　c:\windows\winlogon.exe

　　C:\WINDOWS\1.com

　　C:\WINDOWS\ExERoute.exe

　　C:\WINDOWS\iexplore.com

　　C:\WINDOWS\finder.com

　　C:\WINDOWS\system32\command.pif

　　C:\Windows\system32\command.com

　　C:\WINDOWS\system32\dxdiag.com

　　C:\WINDOWS\system32\finder.com

　　C:\WINDOWS\system32\MSCONFIG.COM

　　C:\WINDOWS\system32\regedit.com

　　C:\WINDOWS\system32\rundll32.com

　　C:\Windows\WINLOGON.EXE

　　C:\WINDOWS\services.exe

　　C:\WINDOWS\Debug\DebugProgramme.exe

　　C:\Program Files\Common Files\iexplore.com

　　C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo.rr

　　向D盘释放：

　　D:\autorun.inf

　　D:\pagefile.com

　　向注册表添加：

　　HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run Torjan pragramme

　　HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows NT \CurrentVersion \Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

　　依照目前这个WINLOGON.EXE情况，基本过程为：

　　1.终止进程WINLOGON.EXE

　　终止进程可采用进程杀手或Procexp等工具来实现，注意别把小写的winlogon给禁止了

　　再进入注册表,删除如下

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan pragramme

　　2.逐一删除染毒文件，清理或恢复注册表信息

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe 1"

　　更改为

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe "

　　3.恢复文件关联

　　使用regfix.exe工具修复exe关联

　　4.重起系统