无耻的盗号木马WINLOGON.EXE(全大写，小写的那个一般是核心进程)

最近上网不幸中了盗号木马，norton av8 防毒虽好，对木马却是视而不见。尤其是恶意软件，更是察觉不到。windows defender（antispyware）虽好，可是只给正版用户使用，真是郁闷。iparmor也很老迈了，与其中了再杀，还不如用upiea防范！更何况上面这些防反垃圾的软件都对bho视而不见！bho可真是恶心！据说M$早有了补丁，但是我竟然忘了补丁是哪个。总之一句话，无耻的人利用bho犯下的无耻罪行几乎和3721的实名上网不分伯仲。
不说这些了，还是回过头来讲WINLOGON.EXE这个垃圾！用filemon（www.sysinternals.com，使用时“EXCLUDE”掉explorer.exe;csrss.exe;svchost.exe这些核心进程）就可以很容易看到，当你一打开tool类型的窗口，比如win+R“运行”那个，它就开始活动了（调用网络函数的dll），想把你输入的东东发到它主人那里。并且不释放资源，任其发展会吃尽内存（要不然我可能还会妥协呢！）。这个垃圾现在的变种极无耻！具体的讲，都作了如下的事情：
1.利用BHO把自己偷偷安装到电脑。
2.把exeroute.exe，WINLOGON.EXE，1.com，finder.com，winlogondebug.exe等文件都放在%windir%下（当然是隐藏加系统属性，必须“显示所有文件和文件夹”，并取消“隐藏受保护的操作系统文件”才看到。），
3.把它自己的msconfig.exe，dxdiag.exe，regedit.exe等程序放到%windir%/system32/下，这个陷阱很毒！不知道的话用这些常用工具修复电脑就立马中着！（2.和3.中写的几个文都是我现在记起来的，不全，自己按时间排列一下那两个文件夹里的文件就知道都是哪些了。）
4.在d盘添加自动运行配置文件autorun.ini和DOS方式pagefile,当然这两个文件也是sys+hidden属性。这样如果双击D盘打开，也会中着。
5.在C:/Documents and Settings/zsy（中毒用户）/Local Settings/Application Data/下生成一个名字是数字和字母混合的文件夹，里面当然是一些可恶的有毒垃圾了。
6.改变注册表hklm/software/microsoft/windows NT/currentversion/winlogon/shell为“explorer.exe 1”（本来是没有1的，这样就可以运行它那个1.com了！）
7.改变文件关联(assoc .exe=winfiles)，这样可以让你每次运行exe文件都运行它的那些软件！
8.还可能感染conime.exe和wmiprvse.exe和wuauclt.exe等系统程序，让它们不停地重起WINLOGON.EXE。

对策：
1.先卸载BHO（是一个字母加数字的杂乱名称），尽管可以在ie的工具|internet选项|程序|管理加载项...卸载，但是推荐用Raptor的BHOView，或者upiea。
2.先删除msconfig.exe，dxdiag.exe，regedit.exe等陷阱文件，不要关窗口，然后改正经的cmd.exe名称为cmd.com，双击运行，然后在里面运行：
ftype exefiles="%1" %*
assoc .exe=exefiles
之后再运行tasklist，可以看到比进程管理器里更多的进程，停止前面说的一切进程，如conime.exe和wmiprvse.exe和wuauclt.exe以及winlogondebuge.exe和WINLOGON.EXE。用tskill命令停（如tskill 1214，后面的数字是欲停止进程的pid），因为在进程管理器中看不到，或停不掉。
3.在前面未关的窗口中，转到%windir%删掉exeroute.exe，WINLOGON.EXE，1.com，finder.com，winlogondebug.exe等文件。（不可新开窗口！否则又中着。）
3.删除前面5里讲的文件夹，用鼠标右键单击D盘，用“资源管理器”打开D盘，删除autorun.ini和pagefile。
4.把前面6里讲的改回来。
5.有必要的话删除conime.exe和wmiprvse.exe和wuauclt.exe等系统程序。

大概就是这样。 最后，顺便说一下，如果谁知道BHO的补丁请告诉我，不知道的最好停用BHO！钩掉ie的工具|internet选项|高级|“启用即需安装”和“启用第三方控件”。