前段時間，網上曾爆發過WINLOGON病毒，給大家造成了很大的麻煩和損失。WINLOGON病毒中文名叫“落雪”，是一種專門盜取“傳奇世界”、“魔獸世界”、“QQ”及網銀等帳號密碼的病毒。它不僅盜竊密碼，而且還能免殺、自動關閉殺毒軟件及木馬克星，中了該病毒后你會發現：

　　雙擊“我的電腦”/盤符無法打開、或出現自動播放，大量的文件關聯被修改;打開任務管理器，出現2個WINLOGON.exe進程，其中winlogon.exe是原進程，而WINLOGON.exe(路徑為c:\windows\winlogon.exe)則是木馬的主程序(為盜號馬)，你無法結束該進程。另外，在D盤下還會多出2個文件autorun.inf和pagefile.com;C盤中將生成如下15個病毒文件：

　　C:\Windows\WINLOGON.EXE

　　C:\Program Files\Internet Explorer\iexplore.com

　　C:\Program Files\Common Files\iexplore.com

　　C:\WINDOWS\1.com

　　C:\WINDOWS\iexplore.com

　　C:\WINDOWS\finder.com

　　C:\WINDOWS\Exeroud.exe

　　C:\WINDOWS\Debug\Debug Programme.exe

　　C:\Windows\system32\command.com

　　C:\Windows\system32\msconfig.com

　　C:\Windows\system32\regedit.com

　　C:\Windows\system32\dxdiag.com

　　C:\Windows\system32\rundll32.com

　　C:\Windows\system32\finder.com

　　C:\Windows\system32\a.exe

　　為了清除落雪病毒，建議你將殺毒軟件病毒庫升級到最新，然后再用殺毒軟件去剿殺;或者手工清除，方法如下：

　　1、終止WINLOGON.EXE

　　利用進程殺手prockiller2.7，或者Procexp先結束這個進程(注意不要結束小寫的winlogon.exe);然后進入注冊表，刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan ragramme

　　2、刪除染毒文件

　　刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再打開注冊表，清除 AOL instant messenger 7.0 服務，即位于注冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。

　　接下來右擊D盤(不要雙擊，免得激活病毒)，選“打開”，刪除autorun.inf和pagefile.com;進入C盤，刪除上面所列的15個文件!

　　3、恢復文件關聯

　　用SRE恢復文件關聯。先將SREng.EXE的后綴改為.com，以便能夠運行SRE;在SRE主窗口選擇“啟動項目”，在“注冊表”標簽中去掉木馬啟動項;然后點擊“系統修復”，進入“文件關聯”標簽，勾選“全選”(圖4)，點“修復”，即可恢復所有的文件關聯。

圖 4

　　如果你想手工修復文件關聯，可以這樣操作：到C:\Windows\system32中，把cmd.exe文件復制到桌面，然后改名成cmd.com，以便能運行之;啟動cmd.com進入DOS狀態，輸入以下命令來恢復exe的文件關聯：

　　assoc .exe=exefile回車

　　ftype exefile="%1" %*回車

　　重啟電腦后，exe文件即可運行了;不過再次進入系統后，會彈出“文件1找不到”的提示，因為1.com病毒文件早已被刪除了，為此你可以點擊“開始”/運行，輸入regedit打開注冊表，定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe" 便大功告成!