winlogon查杀技巧：WINLOGON病毒(落雪)的解决办法

　　正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ，然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

　　表现症状：双击盘符无法打开，或出现自动播放，在盘根目录下出现autorun.inf和pagefile.***文件，同时修改了大量的文件关联。打开任务管理器，出现大写的WINLOGON.EXE,该东东为盗号马，曾见过对该马儿的定义名称，为“落雪”，挺好听的名字噢~

　　在系统里存在的病毒文件及被修改的文件为:

　　c:windowswinlogon.exe

　　C:WINDOWS1.com

　　C:WINDOWSExERoute.exe

　　C:WINDOWSiexplore.com

　　C:WINDOWSfinder.com

　　C:WINDOWSsystem32command.pif

　　C:Windowssystem32command.com

　　C:WINDOWSsystem32dxdiag.com

　　C:WINDOWSsystem32finder.com

　　C:WINDOWSsystem32MSCONFIG.COM

　　C:WINDOWSsystem32 egedit.com

　　C:WINDOWSsystem32 undll32.com

　　C:WindowsWINLOGON.EXE

　　C:WINDOWSservices.exe

　　C:WINDOWSDebugDebugProgramme.exe

　　C:Program FilesCommon Filesiexplore.com

　　C:Program FilesCommon FilesMicrosoft SharedMSInfomsinfo.rr

　　向D盘释放：

　　D:autorun.inf

　　D:pagefile.com

　　向注册表添加：

　　HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run Torjan pragramme

　　HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon下的"Shell"="Explorer.exe"已被改为"Shell"="Explorer.exe 1"。

　　依照目前这个WINLOGON.EXE情况，基本过程为：

　　1.终止进程WINLOGON.EXE

　　终止进程可采用进程杀手或Procexp等工具来实现，注意别把小写的winlogon给禁止了

　　再进入注册表,删除如下

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTorjan pragramme

　　2.逐一删除染毒文件，清理或恢复注册表信息

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]"Shell"="Explorer.exe 1"

　　更改为

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]"Shell"="Explorer.exe "

　　3.恢复文件关联

　　使用regfix.exe工具修复exe关联

　　4.重起系统