Winlogon（落雪）病毒手工清除办法

 不知哪里命的名，叫落雪还是蛮有意思的。

今天一台测试的机器中毒了，刚装好的Windows XP Pro with SP2正版，刚刚上Windows Updated网站打好了到8月份的安全补丁，Office 2003安装了SP2，防火墙开启了，安装了Symantec Antivirus 10，更新到最新的病毒库，IE按照安装时的默认安全设置没有改变，其实对于一般用户来说已经足够了，只不过给了用户管理员的权限，用户上网一段时间后Norton就不断弹出广告木马提示，检查进程，发现一个以当前用户身份启动的大写的WINLOGON.EXE进程。D盘根目录下有autorun.inf和pagefile文件，由于在CSDN解答问题的时候看过这个帖子，典型的落雪症状。

http://community.csdn.net/Expert/TopicView.asp?id=4783405

病毒作者了解大部分人处理病毒的方式，Finder、regedit、cmd、iexpolre等等文件都给“移花接木”了，让用户手动检查的时候也会中招，防不胜防。病毒症状是D盘双击打不开，根目录下有autorun.inf和pagefile.com文件，进程中会有两个winlogon进程，一个以system身份运行（这个是正常的），另一个以当前用户身份运行，进程名字为WINLOGON.EXE，不能结束，即使安全状态也不行，注册表中HKLM/Software/Microsoft/Windows/CurrentVersion/Run里面会有一个启动项叫Torjan pragramme，指向%windir%/WINLOGON.EXE；传染时生成的文件范围很多，以下操作都会致使其继续传播：

打开msconfig
打开ie
打开d盘
查找文件
调用debug
调用directX的诊断程序dxdiag
打开命令行窗口
打开regedit
重启机器

以下是网上流传的清除办法，在步骤上做了些改进，通过此办法将此病毒从机器中清除了：

首先在文件夹选项里的查看里，设置显示所有文件和文件夹，取消隐藏受保护操作系统文件。

然后删除以下文件，这些.COM文件都有一些共同特征——文件大小都是一样的，红色的图标，据说是传奇网游的图标（谁玩谁知道），说明是同一个文件，我所见到的此文件大小是50.8K：

D:/autorun.inf
D:/pagefile.com
C:/Program Files/Internet Explorer/iexplore.com
C:/Program Files/Common Files/iexplore.com
C:/WINDOWS/1.com
C:/WINDOWS/iexplore.com
C:/WINDOWS/finder.com
C:/WINDOWS/Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）
C:/WINDOWS/Debug/*** Programme.exe
C:/Windows/system32/command.com

这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:/Windows/system32/msconfig.com
C:/Windows/system32/regedit.com
C:/Windows/system32/dxdiag.com
C:/Windows/system32/rundll32.com
C:/Windows/system32/finder.com
C:/Windows/system32/a.exe

删除期间不要运行任何程序，包括双击磁盘，这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来。

还有一个重点文件——WINLOGON.EXE，做了这么多工作目的就是要干掉她，%windir%/WINLOGON.EXE，这个文件在进程里是中止不了的，说是关键进程无法中止，就连在安全模式下它都会执行，文件不能删除，首先关闭可以关闭的所有程序，开始，运行，regedit.exe（输入完整），进注册表，到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run里面，有一个Torjan pragramme，删除掉（其实我多了一步做法，将WINLOGON.EXE文件安全属性里面全部权限都取消掉，让用户无法运行此文件，在后来需要删除的时候再将权限设置回来，然后删除此文件）。

然后注销，重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了（保险些），把那些文件删掉后，在把上述文件删除掉后，所有的exe文件都打不开了，运行cmd也不行。

到C:/Windows/system32 里，把cmd.exe文件复制出来到桌面，改名成cmd.com（因为exe已经不能执行了） ，进入到命令控制台方式，输入以下的两个命令以重新关联exe执行文件：

assoc .exe=exefile（assoc与.exe之间有空格）
ftype exefile="%1" %*

这样exe文件就可以运行了，全部处理好后，在开机的时候会跳出一个警告框，说文件"1"找不到（Windows下的1.com文件已经给删除了），在运行程序中运行“regedit.exe”，打开注册表编辑器，在[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

重新启动电脑，问题应该可以解决了。

在公司里面这种现象应该不多见，因为一般都不给用户管理员的权限，下面是我一篇翻译：

Why you shouldn't run as admin
http://blog.csdn.net/aceryt/archive/2005/09/01/469808.aspx