WINLOGON.EXE病毒【bìng dú】🗽，j近来在🖋网络很流行【háng】，许多朋【xǔ duō péng】友都中🥓了【le】😯，许多杀💍毒软件【dú ruǎn jiàn】👫能查到【dào】🚡，但是无【dàn shì wú】⛽论如何🏍都无法清除。
　　
不知【bú zhī】🆎道什么原【yuán】👾因【yīn】，这个病【zhè gè bìng】🔉毒【dú】的【de】中👐文译名叫做【jiào zuò】“落雪【luò xuě】🌐”，又叫🏇“飘雪”，很美吧【hěn měi ba】？

　　我检查【wǒ jiǎn chá】了【le】😯一下【yī xià】，发现进程【jìn chéng】里多🍀出【chū】➕一个【yī gè】大写的【xiě de】🚪WINLOGON，是在【shì zài】👾winnt或😚windows目录下的【xià de】😌，而正常情况下【qíng kuàng xià】，这个进【zhè gè jìn】🕉程【chéng】应该🍧是在【shì zài】👾winnt或😚windows/system32目录下的【xià de】😌，此进程【jìn chéng】💜不言而👛知【zhī】🆎。注册表【zhù cè biǎo】🗜下的【xià de】😌启动项【qǐ dòng xiàng】，里面【lǐ miàn】有个Torjan pragramme的【de】🤪启动项【qǐ dòng xiàng】目，不能彻底删【shān】💥除。

以下是【shì】🚢删【shān】💥除的【chú de】🤪方法【fāng fǎ】⤵

这个进【zhè gè jìn】🕉程【chéng】💜WINLOGON.EXE的【de】🤪用户名🔝是【shì】用户自己【zì jǐ】🚹，因【yīn】此不可【kě】能是【shì】正常的【zhèng cháng de】👚系统【tǒng】进程【jìn chéng】💜，正常的【zhèng cháng de】👚winlogon系统【tǒng】进程【jìn chéng】💜，其用户🎿名为【míng wéi】🐠“SYSTEM” 程序【chéng xù】🤓名为【míng wéi】🐠小写winlogon.exe。而伪装成该进程【jìn chéng】💜的【de】🤪木马【mǎ】🙎程序【chéng xù】🤓其用户🎿名为【míng wéi】🐠当前系【dāng qián xì】统【tǒng】👔用户名🔝，且程序【chéng xù】🤓名为【míng wéi】🐠大写的【xiě de】🚪WINLOGON.exe。进程【jìn chéng】查👾看方式 ctrl+alt+del 然后选择进程【jìn chéng】♑。正常情况下【qíng kuàng xià】有🌛且只有一个【yī gè】winlogon.exe进程【jìn chéng】💜，其用户🎿名为【míng wéi】🐠“SYSTEM”。如果出【rú guǒ chū】➕现了【le】两🍁个winlogon.exe，且其中【qiě qí zhōng】一🕰个为大写，用户名🔝为当前系【dāng qián xì】统【tǒng】👔用户的【de】🤪话，表🏵明可【kě】能存在木马【mǎ】🙎。

这个木马【gè mù mǎ】🙎非常厉【fēi cháng lì】害，能破坏🔋掉木马【diào mù mǎ】🙎克星等【kè xīng děng】🆗许多著🐃名的【de】🤪杀毒软【shā dú ruǎn】件【jiàn】👫，使其不【shǐ qí bú】🧔能正常【néng zhèng cháng】🥨运行【yùn háng】🎂，就算能正常【néng zhèng cháng】🥨运行【yùn háng】🎂，也会错🧣误杀毒【dú】或查毒【dú】🔥。目前使用其他🏭杀毒软【shā dú ruǎn】件【jiàn】👫未能杀【wèi néng shā】死【sǐ】。但是【shì】很🍧明显，人工【gōng】也🕚可【kě】以看🌈出【chū】➕，那个WINDOWS下的【xià de】😌WINLOGON.EXE确实是【shì】病毒【bìng dú】🗽，但是【shì】🕔，她不过【tā bú guò】🤽是【shì】这个病【zhè gè bìng】🔉毒【dú】中的【de】小角【xiǎo jiǎo】🧒色而已【sè ér yǐ】，大家用【dà jiā yòng】🍊鼠标右键🔘【打开【dǎ kāi】🐁】，打开【dǎ kāi】🐁D盘【pán】看看📫是【shì】否有一个【yī gè】pagefile的【de】🤪DOS指向文🐧件【jiàn】和一🤪个autorun.inf文件【wén jiàn】🕐了【le】😯，这些当然都是【shì】🧀隐藏的【de】🤪，删【shān】💥这几个【zhè jǐ gè】没【méi】♎用的【de】🤪，因【yīn】为她关联了【guān lián le】😯很多东🦗西【xī】🛐，甚至在🐊安全模📕式都不能删【shān】💥死【sǐ】，只要运行【yào yùn háng】🎂任何程【rèn hé chéng】序【xù】🤓，或者双📤击打开【dǎ kāi】🍂D盘【pán】🐜，她就会重新被【chóng xīn bèi】安装了【le】😯。而且这段时间【duàn shí jiān】🔣很多人【hěn duō rén】🥪的【de】帐号🏇被盗就【bèi dào jiù】是【shì】因【yīn】为这个破【zhè gè pò】😳解的【jiě de】🤪传家宝【chuán jiā bǎo】了【le】😯。

我分析了【le】😯一下【yī xià】这个木马【gè mù mǎ】🙎的【de】🤪资料，连接是【lián jiē shì】通向河【tōng xiàng hé】南和天💥津的【de】某🕓一地区，看来是【shì】🌹国内的【de】🤪。而且她很有趣，如果你【rú guǒ nǐ】机子上🥂有传奇等游戏，必然惹来她的【lái tā de】亲吻✡，那么说💾QQ之类的【zhī lèi de】🧞帐号密码会不【mǎ huì bú】会被泄漏【lòu】，这个不🤾清楚，但起码【dàn qǐ mǎ】🐩我有些朋友已经被盗✉了【le】😯。

　　解决【jiě jué】🌊“落雪【luò xuě】🌐”病毒【bìng dú】🗽的【de】🤪方法【fāng fǎ】⤵

症状：D盘【pán】🐜双击打不开【bú kāi】🐸，而且里面【lǐ miàn】有autorun.inf和pagefile.com文件【wén jiàn】🕐
此病毒【bìng dú】🗽的【de】🤪制作者很了【le】🥪解系统【jiě xì tǒng】的【de】运作🍚，因【yīn】此此两个文💇件【jiàn】💽难以删【shān】💥除，在安全模📕式用Administrator一样解【yī yàng jiě】决🌊不了【le】😯！经过一个【yī gè】下午🔗的【de】🤪奋战才算勉强【suàn miǎn qiáng】解决【jiě jué】🚁。 我没【méi】♎用什么【yòng shí me】查杀木马【mǎ】🙎的【de】🤪软件【jiàn】💽，全是手【quán shì shǒu】😹动一个【yī gè】一个【yī gè】把它揪出【chū】➕来把他删【shān】💥掉【diào】的【de】🤪。它所关👯联的【de】文📖件【jiàn】💽如下，绝大多数文件【wén jiàn】🤱都是显【dōu shì xiǎn】示为系【shì wéi xì】统文【tǒng wén】🤕件【jiàn】💽和隐藏🗾的【de】🤪。 所以要在文件【zài wén jiàn】🔹夹选项【jiá xuǎn xiàng】里打开【lǐ dǎ kāi】🐁显示隐【xiǎn shì yǐn】🕢藏文件【wén jiàn】🏙。

D盘【pán】🐜里就两个，搞得你无法双击打开【dǎ kāi】🍂D盘【pán】🐜。C盘【pán】很多🙁相关文件【wén jiàn】🕐程序【chéng xù】🤓

D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（传奇的【de】🤪图标【tú biāo】，很漂亮🏉）
C:\WINDOWS\Debug\*** Programme.exe（也是上【yě shì shàng】面那个图标【tú biāo】，名字每台机子都不同，但是【shì】🕔明显是【shì】非隐藏的【de】🤪）
C:\Windows\system32\command.com 这个不🤾要轻易删【shān】💥，看看是【shì】不是【shì】和下面几【xià miàn jǐ】个日期【rì qī】不一样【bú yī yàng】而和其【ér hé qí】他文⏩件【jiàn】💽日期一【rì qī yī】🐅样，如果和【rú guǒ hé】🚪其他文【qí tā wén】⏩件【jiàn】💽大部分【dà bù fèn】系统文【xì tǒng wén】🤕件【jiàn】💽日期一【rì qī yī】🐅样就不【yàng jiù bú】能🤫删【shān】💥，当然系统文【xì tǒng wén】🤕件【jiàn】💽肯定不是【shì】这段😎时间的【shí jiān de】🤪。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

值得注【zhí dé zhù】意的【de】🤪是【shì】：看看这些文【zhè xiē wén】件【jiàn】🕐的【de】🤪日期【rì qī】，看看其他地方🚝还有没【méi】♎有相同时【xiàng tóng shí】🚆间的【de】🤪文件【wén jiàn】🕐还是【shì】.COM结尾的【de】🤪可【kě】疑文件【wén jiàn】🕐，小心不【xiǎo xīn bú】要运行【yào yùn háng】🎂任何程【rèn hé chéng】序【xù】🤓，要不就又启动⏸了【le】😯，包括双【bāo kuò shuāng】击磁盘【pán】🐜，还有一个【yī gè】头号文件【wén jiàn】🕐！WINLOGON.EXE！做了【le】😯这么多【zhè me duō】工【gōng】🥍作目的【de】🤪就是【shì】要离开她的亲吻【de qīn wěn】✡！

C:\Windows\WINLOGON.EXE
这个在【zhè gè zài】进程【jìn chéng】💜里明显【lǐ míng xiǎn】可【kě】🤫以看得到【dào】🚡，有两个📅，一个【yī gè】是【shì】真的【de】🤪，一个【yī gè】是【shì】假的【de】🤪。
真的【de】🤪是小写【shì xiǎo xiě】winlogon.exe，（不知【bú zhī】你🍙们的【de】是【shì】💶不是【shì】），用户名🔝是【shì】SYSTEM，
而假的【de】🤪是【shì】大写的【xiě de】🚪WINLOGON.EXE，用户名🔝是【shì】你自⛩己的【de】🤪用户名🔝。
这个文件【gè wén jiàn】🕐在进程【jìn chéng】里是【shì】🔐中止不【zhōng zhǐ bú】了的【le de】⬆，说是【shì】关🐭键进程【jiàn jìn chéng】💜无法中止，搞得跟🥂真的【de】🤪一样！就连在安全模📕式下它都会
呆在你【dāi zài nǐ】的【de】进程【jìn chéng】🉐里！ 我现在所知【zhī】道➡的【de】🤪就这些，要是【shì】不放心【fàng xīn】，就最好【jiù zuì hǎo】🈵看一下【yī xià】🌄其中一🕰个文件【gè wén jiàn】🕐的【de】修改🚵日期【rì qī】，然后用【rán hòu yòng】“搜索”搜这天修改过的【de】🤪文件【wén jiàn】🕐，相同时【xiàng tóng shí】🚆间的【de】肯🚢定会出【chū】➕来一大堆的【de】🧣， 连系统【tǒng】还原【yuán】夹里都有【lǐ dōu yǒu】！！ 这些文【zhè xiē wén】件【jiàn】🕐会自己【zì jǐ】关联的【guān lián de】🤪，要是【shì】你删【shān】了【le】一🏳部分，不小心【bú xiǎo xīn】运行【yùn háng】了【le】➿一个【yī gè】，或😚在开始－运行【yùn háng】🎂里运行【yùn háng】🎂msocnfig，command，regedit这些命令【lìng】，所有的【de】🤪这些文【zhè xiē wén】件【jiàn】🕐全会自己【zì jǐ】补😻充回来！

知【zhī】道了【le】🐇这些文【zhè xiē wén】件【jiàn】🕐，首先关闭可【kě】以关闭的【de】🤪所有程【chéng】🚒序【xù】，打开【dǎ kāi】🐁程序【chéng xù】🤓附件【jiàn】💽里头的【lǐ tóu de】🤪WINDOWS资源管理器【lǐ qì】，并在上面的【de】工【gōng】⏩具里头的【lǐ tóu de】🤪文件【wén jiàn】🕐夹选项【jiá xuǎn xiàng】里头的【lǐ tóu de】🤪查看里📟设置显【shè zhì xiǎn】🚬示所有♏文件【wén jiàn】🕐和文件【hé wén jiàn】假🌫，取消隐藏受保【cáng shòu bǎo】🎤护操作💚系统文【xì tǒng wén】🤕件【jiàn】💽，然后打开【dǎ kāi】🐁开始菜单的【de】🍰运行【yùn háng】🎂，输入命【shū rù mìng】令【lìng】 regedit，进注册【jìn zhù cè】表🗜，到【dào】🚡
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面【lǐ miàn】，有一个【yī gè】Torjan pragramme，这个明摆着💦“我是【shì】木马【mǎ】🙎”，删【shān】💥！！
然后注【rán hòu zhù】销🚁！ 重新进🏹入系统【tǒng】后，打开【dǎ kāi】🐁“任务管理器【lǐ qì】”，看看有没【méi】♎rundll32，有的【de】话😞先中止了【le】😯，不知【bú zhī】🆎这个是【zhè gè shì】真还是【zhēn hái shì】假，小心为好🥄。 到【dào】🚡D盘【pán】🐜（注意不要【yì bú yào】双击进入！否则又😬会激活这个病【zhè gè bìng】🔉毒【dú】）右键🔘，选【打开【dǎ kāi】🐁】，把autorun.inf和pagefile.com删【shān】💥掉【diào】，
然后再【rán hòu zài】🏵到【dào】🚡C盘【pán】🐜把上面所列出【chū】来的【lái de】🤼文件都【wén jiàn dōu】🎍删【shān】💥掉【diào】！中途注意不要【yì bú yào】双击到【dào】🚡其中一🕰个文件【gè wén jiàn】🕐，否则所✖有步骤【yǒu bù zhòu】都要重新来过！ 然后再【rán hòu zài】🏵注销【zhù xiāo】🚁。
我在奋战过程【chéng】💜中，把那些🌘文件【wén jiàn】删【shān】🧥掉后【diào hòu】，所有的【de】🤪exe文件【wén jiàn】🕐全都打不😗开了【kāi le】😯，运行【yùn háng】🎂cmd也不行【háng】。

打开【dǎ kāi】我😝的【de】🤪电脑点【diàn nǎo diǎn】工具【gōng jù】==>文件【wén jiàn】🕐夹选项【jiá xuǎn xiàng】==>文件【wén jiàn】🕐类型==>新建exe扩展名🆑，点高级👘选应用程序【chéng xù】🤓。
即可【kě】运行【yùn háng】🎂

但我在【dàn wǒ zài】🍺弄完这些之后【xiē zhī hòu】，在开机【zài kāi jī】的【de】🤪进入用户时会有些慢，并会跳出【chū】➕一个警【yī gè jǐng】告框【gào kuàng】🆖，说文件【wén jiàn】🕐"1"找不到【dào】🚡。（应该是【shì】Windows下的【xià de】😌1.com文件【wén jiàn】🕐。）,最后用System Repair Engineer看情况🌁修理一下【yī xià】系统【tǒng】的【de】🤪启动项【qǐ dòng xiàng】、系统关【xì tǒng guān】联等。
最后说🐂一下【yī xià】怎么解决【me jiě jué】🤡开机提示找不👥到【dào】文件【wén jiàn】🥌“1.com”的【de】🤪方法【fāng fǎ】⤵：
在运行【yùn háng】🎂程序中【chéng xù zhōng】🧦运行【yùn háng】🎂“regedit”，打开【dǎ kāi】🐁注册表【zhù cè biǎo】🗜，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为【huī fù wéi】📵"Shell"="Explorer.exe" 当然这也是【shì】启动项【qǐ dòng xiàng】罢了【le】😯。