关于winlogo.exe中了“落雪”病毒的解决方法

Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。

1.描述

作为一个系统核心进程，Winlogon.exe进程已被很多病毒盯上，国内外安全厂商已经截获很多类似病毒，感染情况包括进程位置变化、资源占用变化、错误提示等[1] 。若发生此类情况很有可能已被感染病毒。

该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先利用进程管理类程序（如冰刃、No.1进程管理器等，系统的任务管理器会将病毒的winlogon误认为是系统关键进程从而无法结束）结束病毒进程 winlogon.exe，然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。

2.进程描述

进程文件： winlogon or winlogon.exe	后台程序： 是
进程名称： Microsoft Windows Logon Process	使用网络： 否
出品者： Microsoft Corp.	硬件相关： 否
属于： Microsoft Windows Operating System	常见错误： 强行结束后会重启
系统进程： 是	内存使用： 未知N/A

3.病毒确定

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。使用其他杀毒软件查出难度大。

4.清除病毒

那个WINDOWS下的WINLOGON.EXE确实是病毒，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，都是隐藏的，删除没用，因为关联了很多东西，只要运行程序，或者双击打开D盘，就会重新自动安装。

5.一键修复

winlogon.exe应用程序错误主要是输入法软件注入winlogon所导致的蓝屏。国内windows XP仍有很多，用户可将腾讯电脑管家升级至8.2.9749.224版本，并打开腾讯电脑管家电脑诊所，搜索“winlogon.exe”，找到相关问题，点击一键修复即可完成。

 

解决“落雪”病毒的方法

症状：D盘双击打不开，里面有autorun.inf和pagefile#com文件

安全模式用Administrator解决无效，经过一个下午的奋战才算勉强解决。手动一个一个的删除。它所关联的绝大多数都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘里的就多了！

D:\autorun.inf

D:\pagefile#com

C:\Program Files\Internet Explorer\iexplore#com

C:\Program Files\Common Files\iexplore#com

C:\WINDOWS\1#com

C:\WINDOWS\iexplore#com

C:\WINDOWS\finder#com

C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）

C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的)

C:\Windows\system32\command#com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig#com

C:\Windows\system32\regedit#com

C:\Windows\system32\dxdiag#com

C:\Windows\system32\rundll32#com

C:\Windows\system32\finder#com

C:\Windows\system32\a.exe

对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘

还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！

C:\Windows\WINLOGON.EXE

这个在进程里可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile#com删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。

6.恢复文件

如何恢复.EXE文件

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

解决办法是，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd#com （嘿嘿我也会用com文件），然后双击这个COM文件，可以进入到DOS下的命令提示符

assoc .exe=exefile （assoc与.exe之间有空格）

ftype exefile="%1" %*

这样exe文件就可以运行了。如果不会打命令，只要打开CMD#COM后复制上面的两行分两次粘贴上去执行就可以了。

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1#com文件。）,最后用上网助手之类的软件全面修复IE设置。

7.其它问题

解决开机跳出找不到文件的方法

最后说一下怎么解决开机跳出找不到文件“1#com”的方法

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

8.运行错误

若是还是无法执行.EXE文件

下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了，因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令，选择“文件类型”标签，在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮，在“文件扩展名”后输入“.exe”，按[高级]按钮，系统自动将其文件类型定义为“应用程序”，按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”，选择它后按[更改]按钮，系统要求选择要使用的程序，可是到底要选择什么应用程序来打开EXE文件？看来这个方法无效，只好按[取消]按钮返回“文件夹选项”对话框。

由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联，所以在“已注册的文件类型”列表中选择“EXE应用程序”，并按[删除]按钮将它删除。由于所有EXE文件都不能执行，所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表，看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键，出现“Windows 2000高级选项菜单”，选其中的“最后一次正确的配置”，进入Windows 2000时仍然报错。只好再次重新启动，这次选“安全模式”，虽然没有报错，但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项，启动成功后在命令提示符窗口的命令行输入：help| more(“|”是管道符号，在键盘上位于Backspace键左边)，在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC显示或修改文件扩展名关联”，按任意键继续查看，又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”，大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”，原来在命令提示符窗口还隐藏着这两个特殊命令，可以用来设置文件扩展名关联。于是，在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置，终于解决了EXE文件不能运行的故障。故障解决先在命令行command输入：assoc .exe来显示EXE文件关联，系统显示“没有为扩展名.exe找到文件关联”，难怪EXE文件都不能执行。接着输入：ftype | more来分屏显示系统中所有的文件类型，其中有一行显示为“exefile="%1" %*”，难道只要将EXE文件与“exefile”关联，故障就会解决？于是在命令行输入：assoc .exe=exefile(assoc与.exe之间有一空格)，屏幕显示“.exe=exefile”。现在关闭命令提示符窗口，按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口，按[关机]按钮后选择“重新启动”选项，按正常模式启动Windows 2000后，所有的EXE文件都能正常运行了。

利用regedit#com的方法应该是最行之有效的办法。

 

1、修改regedit.exe 为 regedit#com

2、 把HKEY_CLASSES_ROOT\exefile\shell\open\command下的default键值改为"%1" %