逆天二小姐:妖孽少主:关于winlogo.exe的问题

winlogo.exe是木马程序灰鸽子释放出来的文件，建议在安全模式下使用杀毒软件进行扫描。
“灰鸽子变种（Trojan.Huigezi）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统: WIN9X/NT/2000/XP。
该病毒是著名病毒“灰鸽子”的一个变种，病毒运行时会把自己复制到系统目录，并命名为WINLOGO.EXE，然后监听用户的网络，来接收远程的控制命令，也就是说中了该病毒用户的计算机，将处于被远方病毒作者控制的状态下，病毒作者可以通过该病毒对用户计算机为所欲为。

1.删除灰鸽子服务端程序
由于在Windows环境下灰鸽子的服务端是处于运行状态，无法直接删除，所以必须进入纯DOS状态删除，删除命令如下：
cd c:\windows\system
attrib-r-s-h kernel32.exe
attrib-r-s-h notepod.exe
del kernel32.exe
del notepod.exe
如果灰鸽子服务端设置了exe 文件关联的话，将会导致注册表编辑器无法运行，所以在删除服务端之前，先将注册表编辑器重命名，以便以后对注册表进行更改，操作命令如下：
ren c:\windows\regedit.exe regedit.com
2.删除注册表中启动键
打开”开始“菜单”中的“运行”然后输入“regedit.com".启动注册表编辑器后，依次打开“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\Current Version\Run"，在右边的窗口中删除名称为”Loadwindows"的键值就可以了。
清除文件关联
灰鸽子可以设置4种文件关联：exe关联，txt关联，ini关联，inf关联，其中exe关联可以和其他三种类型同时存在。
1.解除exe关联：
启动注册表编辑器，然后找到HKEY_CLASSES_ROOT\Exefile\shell\Open\Cpmmand主键，查看起默认的键值是不是系统默认的“%1%*”
2.解除txt关联：
打开注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command主键，其默认值的正常参数应该为“C：\windows\notepad.exe%1"。
3.解除ini关联：
INI文件的的关联配置保存在注册表HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键下，其默值数据也是“C：\windows\notepad.exe%1”。
4解除inf关联：
打开注册表的HKEY_CLASSES_ROOT\Inffile\shell\Open\Cpmmand主键，和ini,txt文件关联一样，其默认值也是“C：\windows\notepad.exe%1。
注意：1、以上清除顺序不可以随意调整。
2、以上为默认路径，如果有改动，请输入相应的正确路径。

用瑞星的卡卡 或者360卫士