WINLOGON.EXE病毒，j近來在網絡很流行，許多朋友都中了，許多殺毒軟件能查到，但是無論如何都無法清除。
　　
不知道什么原因，這個病毒的中文譯名叫做“落雪”，又叫“飄雪”，很美吧？

　　我檢查了一下，發現進程里多出一個大寫的WINLOGON，是在winnt或windows目錄下的，而正常情況下，這個進程應該是在winnt或windows/system32目錄下的，此進程不言而知。注冊表下的啟動項，里面有個Torjan pragramme的啟動項目，不能徹底刪除。

以下是刪除的方法

這個進程WINLOGON.EXE的用戶名是用戶自己，因此不可能是正常的系統進程，正常的winlogon系統進程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統用戶的話，表明可能存在木馬。

這個木馬非常厲害，能破壞掉木馬克星等許多著名的殺毒軟件，使其不能正常運行，就算能正常運行，也會錯誤殺毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯，人工也可以看出，那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這個病毒中的小角色而已，大家用鼠標右鍵【打開】，打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，這些當然都是隱藏的，刪這幾個沒用的，因為她關聯了很多東西，甚至在安全模式都不能刪死，只要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了。而且這段時間很多人的帳號被盜就是因為這個破解的傳家寶了。

我分析了一下這個木馬的資料，連接是通向河南和天津的某一地區，看來是國內的。而且她很有趣，如果你機子上有傳奇等游戲，必然惹來她的親吻，那么說QQ之類的帳號密碼會不會被泄漏，這個不清楚，但起碼我有些朋友已經被盜了。

　　解決“落雪”病毒的方法

癥狀：D盤雙擊打不開，而且里面有autorun.inf和pagefile.com文件
此病毒的制作者很了解系統的運作，因此此兩個文件難以刪除，在安全模式用Administrator一樣解決不了！經過一個下午的奮戰才算勉強解決。 我沒用什么查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。它所關聯的文件如下，絕大多數文件都是顯示為系統文件和隱藏的。 所以要在文件夾選項里打開顯示隱藏文件。

D盤里就兩個，搞得你無法雙擊打開D盤。C盤很多相關文件程序

D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（傳奇的圖標，很漂亮）
C:\WINDOWS\Debug\*** Programme.exe（也是上面那個圖標，名字每臺機子都不同，但是明顯是非隱藏的）
C:\Windows\system32\command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統文件日期一樣就不能刪，當然系統文件肯定不是這段時間的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

值得注意的是：看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁盤，還有一個頭號文件！WINLOGON.EXE！做了這么多工作目的就是要離開她的親吻！

C:\Windows\WINLOGON.EXE
這個在進程里明顯可以看得到，有兩個，一個是真的，一個是假的。
真的是小寫winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，
而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。
這個文件在進程里是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會
呆在你的進程里！ 我現在所知道的就這些，要是不放心，就最好看一下其中一個文件的修改日期，然后用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的， 連系統還原夾里都有??！ 這些文件會自己關聯的，要是你刪了一部分，不小心運行了一個，或在開始－運行里運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來！

知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件里頭的WINDOWS資源管理器，并在上面的工具里頭的文件夾選項里頭的查看里設置顯示所有文件和文件假，取消隱藏受保護操作系統文件，然后打開開始菜單的運行，輸入命令 regedit，進注冊表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一個Torjan pragramme，這個明擺著“我是木馬”，刪??！
然后注銷！ 重新進入系統后，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。 到D盤（注意不要雙擊進入！否則又會激活這個病毒）右鍵，選【打開】，把autorun.inf和pagefile.com刪掉，
然后再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中一個文件，否則所有步驟都要重新來過！ 然后再注銷。
我在奮戰過程中，把那些文件刪掉后，所有的exe文件全都打不開了，運行cmd也不行。

打開我的電腦點工具==>文件夾選項==>文件類型==>新建exe擴展名，點高級選應用程序。
即可運行

但我在弄完這些之后，在開機的進入用戶時會有些慢，并會跳出一個警告框，說文件"1"找不到。（應該是Windows下的1.com文件。）,最后用System Repair Engineer看情況修理一下系統的啟動項、系統關聯等。
最后說一下怎么解決開機提示找不到文件“1.com”的方法：
在運行程序中運行“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe" 當然這也是啟動項罷了。