刘皓宸的父亲:查杀WINLOGON.EXE的问题，谢谢各位了。

电脑有病毒一般需要使用杀毒软件全盘杀毒，如果遇到查杀不掉的病毒需要分什么情况分析：
1、如果杀毒杀出来的病毒删除不掉，安全模式下查杀，还是不行使用强删工具删除文件。
2、局域网环境，计算机在联网的时候文件能杀掉但是总杀总有，断网可以杀干净，属于局域网感染病毒，修复系统漏洞，对局域网计算机进行杀毒，杀干净再看。
3、断网情况下依然总杀总有，病毒可以杀掉但是反复回写，说明病毒主体没有查杀出来，不停的释放其他病毒文件，使用filemon工具，通过进程动作的监控，查出是哪个进程再不停的释放其他病毒文件，把病毒主体删除，如果这个操作无法自行操作，请联系杀毒软件的技术客服解决。

哦..最好重装系统啊,我前几天也中过,我就重装的.

这是因为这个木马对系统负责安全登陆的进程winlogon.exe(注意这里是小写的)也进行了自身的dll插入（有些变种直接就替换这个进程，不过为大写的），所以查杀到这个进程时，系统因重要进程关闭而重启。

对付这个木马，光靠工具也不太行，你最好到网上搜索下别人手工解决它的方法，结合了工具查杀来清除它。

这里我说一下，我以前查杀过的一个方法
用《电脑迷》的随刊光盘启动了电脑，用光盘里的江民DOS杀毒伴侣查杀，不过花时间比较长。你也可以试试。

http://zhidao.baidu.com/question/9374169.html

下载一个超级兔子7.76 很管用我昨天刚把WINLOGON.EXE解决！
安装好后用检测木马和IE修复 搞定！呵呵
不过你会发现你的EXE关联文件用不了，不过没关系。跟我做下面的工作
打开“控制面板”——“文件夹选项”——“文件类型”——“新建”——“文件扩展名”后面输入“EXE”——点击“高级”——选中倒数第18个“应用程序”——确定——然后关闭——大功告成!怎么样？呵呵
超级兔子7.76下载地址：
http://down1.tech.sina.com.cn/download/down_page/1081612800/3377.shtml

你先进入安全模式啊，开机的时候一直按F8，就可以选择进入安全模式了

关于解决“落雪”病毒的方法
由JJ整理，2006-8-8 21:29:20
手工删除：
一、 结束病毒进程
鼠标右键点击"任务栏"，选择"任务管理器"。点击菜单"查看"－>"选择列"，在弹出的对话框中选择"PID（进程标识符）"，并点击"确定"。

找到映象名称为"WINLOGON.EXE"，并且用户名不是"SYSTEM"的一项，记住其PID号。

点击"开始"－》"运行"，输入"CMD"，点击"确定"打开命令行控制台。输入"ntsd -c q -p (PID)"，比如我的计算机上就输入"ntsd -c q -p 1464"。 1464即为PID号。

这一步切忌小心！！！一定不能弄错记住是“用户名不是"SYSTEM"的一项”错了会导致系统崩溃，
那天我在同学家就是搞错了弄得系统重装。当然也可以下载解释进程的软件，但是我觉得这样简单。

二、 删除病毒文件
打开"我的电脑"，选择文件夹选项，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了，红色图标有传奇世界图标的)
C:\WINDOWS\WINLOGON.EXE(红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
C:\WINDOWS\severs.exe

如果硬盘有其他分区，一般为D盘，则在其他分区（D盘）上点击鼠标右键，选择"打开"。删除掉该分区根目录下的"D:\autorun.inf"和"D:\pagefile.com"文件。

三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。
因为实在太多了，所以希望大家这样做，比较快捷。
网上只告诉你键值要你自己改，我改的太痛苦了，所以这样快些：

首先删除这个必须一个一个删，
将Windows目录下的"regedit.exe"改名为"regedit.com"并运行，删除以下项目：
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、

接下来是修改注册表，不用一个个去找啦，复制以下文件（不含横线），然后新建一个文本文档，不以下内容粘贴进去，然后另存为“任意文件名”.reg（不含引号）。随便在哪建都行，然后双击这个文件，选择是。好了，完成！
如果你懒得做这些，没关系，我已经把弄好的导入文件上传到了网上，大家分享吧！
http://ffwj8806.68ab.com/winlogon杀毒注册表修改.rar
--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\ftp\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1\""

[HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1\" "

[HKEY_CLASSES_ROOT\htmlfile\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome\""

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1\""

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE\" "

[HKEY_CLASSES_ROOT\HTTP\shell\open\command]
@="\"\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet]
@="IEXPLORE.EXE"
--------------------------------------------------------------------------------------

至此病毒已经全部杀光了，重启就不会再有病毒啦:）
说实话我满佩服这个做病毒的，杀毒软件都没用，哈哈确实不错，网上说这个家伙是河南的，满强的，但是太黑了，弄得大家这么累，真他妈挨千刀．
ffwj8806 2006-8-8