使用WinXP很久了 你了解Winlogon吗?

核心提示： 双击“我的电脑”/盘符无法打开、或出现自动播放，大量的文件关联被修改;打开任务管理器，使用WinXP很久了 你了解Winlogon吗?(3)，出现2个WINLOGON.exe进程，其中winlogon.exe是原进程，因为1.com病毒文件早已被删除了，为此你可以点

双击“我的电脑”/盘符无法打开、或出现自动播放，大量的文件关联被修改;打开任务管理器，出现2个WINLOGON.exe进程，其中winlogon.exe是原进程，而WINLOGON.exe(路径为c:windowswinlogon.exe)则是木马的主程序(为盗号马)，你无法结束该进程。另外，在D盘下还会多出2个文件autorun.inf和pagefile.com;C盘中将生成如下15个病毒文件：

C:WindowsWINLOGON.EXE

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS1.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe

C:WINDOWSDebugDebug Programme.exe

C:Windowssystem32command.com

C:Windowssystem32msconfig.com

C:Windowssystem32 egedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32 undll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

为了清除落雪病毒，建议你将杀毒软件病毒库升级到最新，然后再用杀毒软件去剿杀;或者手工清除，方法如下：

1、终止WINLOGON.EXE

利用进程杀手prockiller2.7，或者Procexp先结束这个进程(注意不要结束小写的winlogon.exe);然后进入注册表，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTorjan ragramme

　　2、删除染毒文件

删除 C:Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再打开注册表，清除 AOL instant messenger 7.0 服务，即位于注册表 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices] 下的 aol7.0 键。

接下来右击D盘(不要双击，免得激活病毒)，选“打开”，删除autorun.inf和pagefile.com;进入C盘，删除上面所列的15个文件!

3、恢复文件关联

用SRE恢复文件关联。先将SREng.EXE的后缀改为.com，以便能够运行SRE;在SRE主窗口选择“启动项目”，在“注册表”标签中去掉木马启动项;然后点击“系统修复”，进入“文件关联”标签，勾选“全选”(图4)，点“修复”，即可恢复所有的文件关联。

图 4

如果你想手工修复文件关联，可以这样操作：到C:Windowssystem32中，把cmd.exe文件复制到桌面，然后改名成cmd.com，以便能运行之;启动cmd.com进入DOS状态，输入以下命令来恢复exe的文件关联：

assoc .exe=exefile回车

ftype exefile="%1" %*回车

重启电脑后，exe文件即可运行了;不过再次进入系统后，会弹出“文件1找不到”的提示，因为1.com病毒文件早已被删除了，为此你可以点击“开始”/运行，输入regedit打开注册表，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 便大功告成!