電腦里出現(xiàn)了winlogon.exe

winlogon.exe

進(jìn)程文件： winlogon or winlogon.exe

進(jìn)程名稱： Microsoft Windows Logon Process

描述：

Windows Logon Process，Windows NT 用戶登陸程序,，管理用戶登錄和退出,。該進(jìn)程的正常路徑應(yīng)是 C:\Windows\System32 且是以 SYSTEM 用戶運(yùn)行，若不是以上路徑且不以 SYSTEM 用戶運(yùn)行，則可能是 W32.Netsky.D@mm 蠕蟲病毒,，該病毒通過(guò) EMail 郵件傳播,，當(dāng)你打開病毒發(fā)送的附件時(shí)，即會(huì)被感染,。該病毒會(huì)創(chuàng)建 SMTP 引擎在受害者的計(jì)算機(jī)上,，群發(fā)郵件進(jìn)行傳播。手工清除該病毒時(shí)先結(jié)束病毒進(jìn)程 winlogon.exe,，然后刪除 C:\Windows 目錄下的 winlogon.exe,、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,，再清除 AOL instant messenger 7.0 服務(wù),，位于注冊(cè)表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統(tǒng)進(jìn)程： 是

后臺(tái)程序： 是

使用網(wǎng)絡(luò)： 否

硬件相關(guān)： 否

常見錯(cuò)誤： 未知N/A

內(nèi)存使用： 未知N/A

安全等級(jí) (0-5): 0

間諜軟件： 否

Adware: 否

病毒： 否

木馬： 否

winlogon.exe病毒的查殺方法

這個(gè)進(jìn)程是不是一個(gè)傳奇世界程序的圖標(biāo)使用51破解版?zhèn)骷覍殨?huì)生產(chǎn)一個(gè)WINLOGON.EXE進(jìn)程

正常的winlogon系統(tǒng)進(jìn)程,，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe,。

而偽裝成該進(jìn)程的木馬程序其用戶名為當(dāng)前系統(tǒng)用戶名，且程序名為大寫的WINLOGON.exe,。

進(jìn)程查看方式 ctrl+alt+del 然后選擇進(jìn)程,。正常情況下有且只有一個(gè)winlogon.exe進(jìn)程，其用戶名為“SYSTEM”,。如果出現(xiàn)了兩個(gè)winlogon.exe,，且其中一個(gè)為大寫，用戶名為當(dāng)前系統(tǒng)用戶的話,，表明可能存在木馬,。這個(gè)木馬非常厲害，能破壞掉木馬克星,，使其不能正常運(yùn)行,。目前我使用其他殺毒軟件未能查出。

那個(gè)WINDOWS下的WINLOGON.EXE確實(shí)是病毒,，但是,，她不過(guò)是這個(gè)病毒中的小角色而已，大家打開D盤看看是否有一個(gè)pagefile的DOS指向文件和一個(gè)autorun.inf文件了,，呵呵,，當(dāng)然都是隱藏的，刪這幾個(gè)沒(méi)用的,，因?yàn)樗P(guān)聯(lián)了很多東西,，甚至在安全模式都難搞，只要運(yùn)行任何程序,，或者雙擊打開D盤,，她就會(huì)重新被安裝了,，呵呵，這段時(shí)間很多人被盜就是因?yàn)檫@個(gè)破解的傳家寶了,，而且殺毒軟件查不出來(lái),，有人叫這個(gè)病毒為 ”落雪“ 是專門盜傳奇?zhèn)髌媸澜绲哪抉R，至于會(huì)不會(huì)盜其他帳號(hào)如QQ,，網(wǎng)銀就看她高興了,，呵呵，估計(jì)也都是一并錄制,。不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個(gè)常用任務(wù)出門,，其他的全部阻擋，當(dāng)然大家最好盡快備份,，然后關(guān)門殺毒包括方新等修改過(guò)的51pywg傳家寶,，和他們破解的其他一切外掛，這次嫌疑最大的是51PYWG,，至于其他合作網(wǎng)站估計(jì)也逃不了關(guān)系,，特別是方新網(wǎng)站，已經(jīng)被證實(shí)過(guò)多次在網(wǎng)站放木馬,，雖然他解釋是被黑了,，但是不能排除其他可能，特別小心那些啟動(dòng)后連接網(wǎng)站的外掛,，不排除啟動(dòng)器本身就有毒,，反正一句話，這種啟動(dòng)就連接某網(wǎng)站的破解軟件最容易放毒,，至于什么時(shí)候放,，怎么放，比如一天放幾個(gè)小時(shí),，都要看他怎么爽,，用也盡量用那種完全本地破解驗(yàn)證版的，雖然掛盟現(xiàn)在好像還沒(méi)發(fā)現(xiàn)被放馬或者自己放,，但是千萬(wàn)小心,，，最近傳奇世界傳奇N多人被盜號(hào),，目標(biāo)直指這些網(wǎng)站,，以下是最近特別毒的WINLOGON.EXE盜號(hào)病毒清除方法，注意這個(gè)假的WINLOGON.EXE是在WINDOWS下,，進(jìn)程里頭表現(xiàn)為當(dāng)前用戶或ADMINISTRATOR.另外一個(gè) SYSTEM的winlogon.exe是正常的，那個(gè)千萬(wàn)不要亂刪,，看清楚了,，前面一個(gè)是大寫,，后面一個(gè)是小寫，而且經(jīng)部分網(wǎng)友證實(shí),，此文件連接目的地為河南,。解決“落雪”病毒的方法

癥狀：D盤雙擊打不開，里面有autorun.inf和pagefile.com文件

做這個(gè)病毒的人也太強(qiáng)了,，在安全模式用Administrator一樣解決不了,！經(jīng)過(guò)一個(gè)下午的奮戰(zhàn)才算勉強(qiáng)解決。我沒(méi)用什么查殺木馬的軟件,，全是手動(dòng)一個(gè)一個(gè)把它揪出來(lái)把他刪掉的,。它所關(guān)聯(lián)的文件如下，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的,。所以要在文件夾選項(xiàng)里打開顯示隱藏文件,。

D盤里就兩個(gè)，搞得你無(wú)法雙擊打開D盤,。C盤里盤里的就多了,！

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroute.exe（忘了是不是這個(gè)名字了，紅色圖標(biāo)有傳奇世界圖標(biāo)的）

C:\WINDOWS\Debug\*** Programme.exe(也是上面那個(gè)圖標(biāo),，名字忘了-_- 好大好明顯非隱藏的)

C:\Windows\system32\command.com 這個(gè)不要輕易刪,，看看是不是和下面幾個(gè)日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪,，當(dāng)然系統(tǒng)文件肯定不是這段時(shí)間的,。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

對(duì)了，看看這些文件的日期,，看看其他地方還有沒(méi)有相同時(shí)間的文件還是.COM結(jié)尾的可疑文件,，小心不要運(yùn)行任何程序，要不就又啟動(dòng)了,，包括雙擊磁盤

還有一個(gè)頭號(hào)文件,！WINLOGON.EXE！做了這么多工作目的就是要干掉她?。,。?/p>

C:\Windows\WINLOGON.EXE

這個(gè)在進(jìn)程里可以看得到,，有兩個(gè),，一個(gè)是真的，一個(gè)是假的,。

真的是小寫winlogon.exe,，（不知你們的是不是），用戶名是SYSTEM,，

而假的是大寫的WINLOGON.EXE,，用戶名是你自己的用戶名,。

這個(gè)文件在進(jìn)程里是中止不了的，說(shuō)是關(guān)鍵進(jìn)程無(wú)法中止,，搞得跟真的一樣,！就連在安全模式下它都會(huì)呆在你的進(jìn)程里！我現(xiàn)在所知道的就這些,，要是不放心,，就最好看一下其中一個(gè)文件的修改日期，然后用“搜索”搜這天修改過(guò)的文件,，相同時(shí)間的肯定會(huì)出來(lái)一大堆的,，連系統(tǒng)還原夾里都有！,！ 這些文件會(huì)自己關(guān)聯(lián)的,，要是你刪了一部分，不小心運(yùn)行了一個(gè),，或在開始－運(yùn)行里運(yùn)行msocnfig,，command，regedit這些命令,，所有的這些文件全會(huì)自己補(bǔ)充回來(lái),！

知道了這些文件，首先關(guān)閉可以關(guān)閉的所有程序,，打開程序附件里頭的WINDOWS資源管理器,，并在上面的工具里頭的文件夾選項(xiàng)里頭的查看里設(shè)置顯示所有文件和文件假，取消隱藏受保護(hù)操作系統(tǒng)文件,，然后打開開始菜單的運(yùn)行,，輸入命令 regedit，進(jìn)注冊(cè)表,，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面,，有一個(gè)Torjan pragramme，這個(gè)明擺著“我是木馬”,，刪?。?/p>

然后注銷,！重新進(jìn)入系統(tǒng)后,，打開“任務(wù)管理器”，看看有沒(méi)rundll32,，有的話先中止了,，不知這個(gè)是真還是假，小心為好,。到D盤（注意不要雙擊進(jìn)入,！否則又會(huì)激活這個(gè)病毒）右鍵,，選“打開”，把a(bǔ)utorun.inf和pagefile.com刪掉,，

然后再到C盤把上面所列出來(lái)的文件都刪掉！中途注意不要雙擊到其中一個(gè)文件,，否則所有步驟都要重新來(lái)過(guò),！ 然后再注銷。

我在奮戰(zhàn)過(guò)程中,，把那些文件刪掉后,，所有的exe文件全都打不開了，運(yùn)行cmd也不行,。

到C:\Windows\system32 里,，把cmd.exe文件復(fù)制出來(lái)，比如到桌面,，改名成cmd.com 嘿嘿我也會(huì)用com文件,，然后雙擊這個(gè)COM文件

然后行動(dòng)可以進(jìn)入到DOS下的命令提示符。

再打入以下的命令：

assoc .exe=exefile （assoc與.exe之間有空格）

ftype exefile="%1" %*

這樣exe文件就可以運(yùn)行了,。如果不會(huì)打命令,，只要打開CMD.COM后復(fù)制上面的兩行分兩次粘貼上去執(zhí)行就可以了。

但我在弄完這些之后,，在開機(jī)的進(jìn)入用戶時(shí)會(huì)有些慢,，并會(huì)跳出一個(gè)警告框，說(shuō)文件"1"找不到,。（應(yīng)該是Windows下的1.com文件,。）,最后用上網(wǎng)助手之類的軟件全面修復(fù)IE設(shè)置

最后說(shuō)一下怎么解決開機(jī)跳出找不到文件“1.com”的方法：

在運(yùn)行程序中運(yùn)行“regedit”，打開注冊(cè)表,，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe"

若是還是無(wú)法執(zhí)行.EXE文件,，下面我們就來(lái)看看如何恢復(fù)被篡改后的.EXE文件修復(fù)工作吧。一定是某個(gè)軟件甚至可能是病毒把擴(kuò)展名為EXE的文件關(guān)聯(lián)刪除或修改了,，因此按照前面對(duì)話框的提示從控制面板中執(zhí)行“文件夾選項(xiàng)”命令,，選擇“文件類型”標(biāo)簽，在“已注冊(cè)的文件類型”列表中找不到擴(kuò)展名EXE和它的文件關(guān)聯(lián),。試著按[新建]按鈕,，在“文件擴(kuò)展名”后輸入“.exe”，按[高級(jí)]按鈕,，系統(tǒng)自動(dòng)將其文件類型定義為“應(yīng)用程序”,，按[確定]按鈕后在“已注冊(cè)的文件類型”列表中出現(xiàn)了擴(kuò)展名“EXE”，選擇它后按[更改]按鈕,，系統(tǒng)要求選擇要使用的程序,，可是到底要選擇什么應(yīng)用程序來(lái)打開EXE文件,？看來(lái)這個(gè)方法無(wú)效，只好按[取消]按鈕返回“文件夾選項(xiàng)”對(duì)話框,。由于以前我從沒(méi)聽說(shuō)要為擴(kuò)展名為“.exe”的文件建立文件關(guān)聯(lián),，所以在“已注冊(cè)的文件類型”列表中選擇“EXE應(yīng)用程序”，并按[刪除]按鈕將它刪除,。由于所有EXE文件都不能執(zhí)行,，所以也無(wú)法用注冊(cè)表編輯器(因?yàn)槲抑荒苓\(yùn)行Regedit.exe或Regedit32.exe來(lái)打開注冊(cè)表編輯器)來(lái)修改注冊(cè)表，看來(lái)只好重新啟動(dòng)計(jì)算機(jī)了,。在出現(xiàn)“正在啟動(dòng)Windows…”時(shí)按[F8]鍵,，出現(xiàn)“Windows 2000高級(jí)選項(xiàng)菜單”，選其中的“最后一次正確的配置”,，進(jìn)入Windows 2000時(shí)仍然報(bào)錯(cuò),。只好再次重新啟動(dòng)，這次選“安全模式”,，雖然沒(méi)有報(bào)錯(cuò),，但仍不能運(yùn)行EXE文件。再試試“帶命令行提示的安全模式”選項(xiàng),，啟動(dòng)成功后在命令提示符窗口的命令行輸入：help| more(“|”是管道符號(hào),，在鍵盤上位于Backspace鍵左邊)，在系統(tǒng)顯示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,，大致意思是“ASSOC顯示或修改文件擴(kuò)展名關(guān)聯(lián)”,，按任意鍵繼續(xù)查看，又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,，大意是“FTYPE顯示或修改用在文件擴(kuò)展名關(guān)聯(lián)中的文件類型”,，原來(lái)在命令提示符窗口還隱藏著這兩個(gè)特殊命令，可以用來(lái)設(shè)置文件擴(kuò)展名關(guān)聯(lián),。于是,，在命令行分別輸入“help assoc”和“help ftype”兩個(gè)命令獲取了它們的使用方法接著通過(guò)下面的設(shè)置，終于解決了EXE文件不能運(yùn)行的故障,。故障解決先在命令行command輸入：assoc .exe來(lái)顯示EXE文件關(guān)聯(lián),，系統(tǒng)顯示“沒(méi)有為擴(kuò)展名.exe找到文件關(guān)聯(lián)”，難怪EXE文件都不能執(zhí)行,。接著輸入：ftype | more來(lái)分屏顯示系統(tǒng)中所有的文件類型,，其中有一行顯示為“exefile="%1" %*”，難道只要將EXE文件與“exefile”關(guān)聯(lián),，故障就會(huì)解決,？于是在命令行輸入：assoc .exe=exefile(assoc與.exe之間有一空格)，屏幕顯示“.exe=exefile”。現(xiàn)在關(guān)閉命令提示符窗口,，按[Ctrl+Alt+Del]組合鍵調(diào)出“Windows安全”窗口,，按[關(guān)機(jī)]按鈕后選擇“重新啟動(dòng)”選項(xiàng)，按正常模式啟動(dòng)Windows 2000后,，所有的EXE文件都能正常運(yùn)行了,。另外，的利用regedit.com的方法應(yīng)該是最行之有效的辦法,。1,、修改regedit.exe 為 regedit.com2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,鍵值為"%1" %

清除winlogon.exe病毒 與恢復(fù)EXE文件的全過(guò)程

我們黑基的帥哥kine,機(jī)器不知怎么中了winlogon.exe病毒,，搞的就要重裝系統(tǒng)的下場(chǎng)了。那么讓我們來(lái)看看這個(gè)winlogon.exe病毒到底是什么東西的呢這么的歷害的呢,，winlogon.exe病毒這個(gè)進(jìn)程是不是一個(gè)傳奇世界程序的圖標(biāo)使用51破解版?zhèn)骷覍殨?huì)生產(chǎn)一個(gè)WINLOGON.EXE進(jìn)程正常的winlogon系統(tǒng)進(jìn)程,，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進(jìn)程的木馬程序其用戶名為當(dāng)前系統(tǒng)用戶名,，且程序名為大寫的WINLOGON.exe,。進(jìn)程查看方式 ctrl+alt+del 然后選擇進(jìn)程。正常情況下有且只有一個(gè)winlogon.exe進(jìn)程,，其用戶名為“SYSTEM”,。如果出現(xiàn)了兩個(gè)winlogon.exe，且其中一個(gè)為大寫,，用戶名為當(dāng)前系統(tǒng)用戶的話,，表明可能存在木馬。

如何在網(wǎng)上掛網(wǎng)盟

不需要付費(fèi)掛盟,，但需要向百度網(wǎng)盟申請(qǐng)才可以掛盟的掛盟,，不過(guò)審核比較嚴(yán)格的哦

進(jìn)程問(wèn)題

[csrss.exe]

進(jìn)程文件: csrss or csrss.exe

進(jìn)程名稱: Client/Server Runtime Server Subsystem

描 述: 客戶端服務(wù)子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng),。

介 紹: 這個(gè)是用戶模式Win32子系統(tǒng)的一部分,。csrss代表客戶/服務(wù)器運(yùn)行子系統(tǒng)而且是一個(gè)基本的子系統(tǒng)必須一直運(yùn)行。csrss用于維持Windows的控制,，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境,。

純手工查殺木馬csrss.exe

注意：csrss.exe進(jìn)程屬于系統(tǒng)進(jìn)程，這里提到的木馬csrss.exe是木馬偽裝成系統(tǒng)進(jìn)程

前兩天突然發(fā)現(xiàn)在C:\Program Files\下多了一個(gè)rundll32.exe文件,。這個(gè)程序記得是關(guān)于登錄和開關(guān)機(jī)的,，不應(yīng)該在這里，而且它的圖標(biāo)是98下notepad.exe的老記事本圖標(biāo),，在我的2003系統(tǒng)下面很扎眼,。但是當(dāng)時(shí)我沒(méi)有在意。因?yàn)槠綍r(shí)沒(méi)有感到系統(tǒng)不穩(wěn)定，也沒(méi)有發(fā)現(xiàn)內(nèi)存和CPU大量占用,，網(wǎng)絡(luò)流量也正常,。

這兩天又發(fā)現(xiàn)任務(wù)管理器里多了這個(gè)rundll32.exe和一個(gè)csrss.exe的進(jìn)程。它和系統(tǒng)進(jìn)程不一樣的地方是用戶為Administrator,，就是我登錄的用戶名,，而非system，另外它們的名字是小寫的,，而由SYSTEM啟動(dòng)的進(jìn)程都是大寫的RUNDLL32.EXE和CSRSS.EXE,，覺(jué)得不對(duì)勁。

然后按F3用資源管理器的搜索功能找csrss.exe,，果然在C:\Windows下,，大小52736字節(jié)，生成時(shí)間為12月9日12:37,。而真正的csrss.exe只有4k,，生成時(shí)間是2003年3月27日12:00，位于C:\Windows\Syetem32下,。

于是用超級(jí)無(wú)敵的UltraEdit打開它,，發(fā)現(xiàn)里面有kavscr.exe，mailmonitor一類的字符,，這些都是金山毒霸的進(jìn)程名,。在該字符前面幾行有SelfProtect的字符。自我保護(hù)和反病毒軟件有關(guān)的程序,，不是病毒就是木馬了,。滅！

試圖用任務(wù)管理器結(jié)束csrss.exe進(jìn)程失敗,，稱是系統(tǒng)關(guān)鍵進(jìn)程,。先進(jìn)注冊(cè)表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應(yīng)值，注銷重登錄,，該進(jìn)程消失,，可見它沒(méi)有象3721那樣加載為驅(qū)動(dòng)程序。

然后要查找和它有關(guān)的文件,。仍然用系統(tǒng)搜索功能,，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe,、rundll32.exe和kavsrc.exe,，但kavsrc.exe的圖標(biāo)也是98下的記事本圖標(biāo)，它和rundll32.exe的大小都是33792字節(jié),。

此后在12:38分生成了一個(gè)tmp.dat文件,，內(nèi)容是

@echo off

debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exeC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

C:\WINDOWS\system32\netstart.exe

好像是用debug匯編了一段什么程序，這年頭常用debug的少見，估計(jì)不是什么善茬,，因?yàn)樯虡I(yè)程序員都用Delphi,、PB等大程序?qū)戃浖?/p>

匯編大約進(jìn)行了1分鐘，在12:39生成了netstart.exe,、WinSocks.dll,、netserv.exe和一個(gè)0字節(jié)的tmp.out文件。netstart.exe大小117786字節(jié),，另兩個(gè)大小也是52736字節(jié),。前兩個(gè)位于C:\Windows\System32下，后兩個(gè)在當(dāng)前用戶的Temp文件夾里,。

這樣我就知道為什么我的系統(tǒng)沒(méi)有感染的表現(xiàn)了,。netstart.exe并沒(méi)有一直在運(yùn)行，因?yàn)槲以谌蝿?wù)管理器中沒(méi)有見過(guò)它,。把這些文件都刪除,，我的辦法是用winrar壓縮并選中完成后刪除源文件，然后在rar文件注釋中做說(shuō)明,，放一個(gè)文件夾里，留待以后研究,。這個(gè)監(jiān)獄里都是我的戰(zhàn)利品,，不過(guò)還很少。

現(xiàn)在木馬已經(jīng)清除了,。使用搜索引擎查找關(guān)于csrss.exe的內(nèi)容,，發(fā)現(xiàn)結(jié)果不少，有QQ病毒,，傳奇盜號(hào)木馬,，新浪游戲病毒，但是文件大小和我中的這個(gè)都不一樣,。搜索netstart.exe只有一個(gè)日文網(wǎng)站結(jié)果,，也是一個(gè)木馬。

這個(gè)病毒是怎么進(jìn)入我的電腦的呢,？搜索時(shí)發(fā)現(xiàn)在12月9日12:36分生成了一個(gè)快捷方式,，名為dos71cd.zip，它是我那天從某網(wǎng)站下載的DOS7.11版啟動(dòng)光盤,，但是當(dāng)時(shí)下載失敗了?，F(xiàn)在看來(lái)根本就不是失敗，是因?yàn)檫@個(gè)網(wǎng)站的鏈接本來(lái)就是一段網(wǎng)頁(yè)注入程序,，點(diǎn)擊后直接把病毒下載來(lái)了,。

那個(gè)WINDOWS下的WINLOGON.EXE確實(shí)是病毒，但是，她不過(guò)是這個(gè)病毒中的小角色而已,，大家打開D盤看看是否有一個(gè)pagefile的DOS指向文件和一個(gè)autorun.inf文件了,，呵呵，當(dāng)然都是隱藏的,，刪這幾個(gè)沒(méi)用的,，因?yàn)樗P(guān)聯(lián)了很多東西，甚至在安全模式都難搞,，只要運(yùn)行任何程序,，或者雙擊打開D盤，她就會(huì)重新被安裝了,，呵呵,，這段時(shí)間很多人被盜就是因?yàn)檫@個(gè)破解的傳家寶了，而且殺毒軟件查不出來(lái),，有人叫這個(gè)病毒為 ”落雪“ 是專門盜傳奇?zhèn)髌媸澜绲哪抉R,，至于會(huì)不會(huì)盜其他帳號(hào)如QQ，網(wǎng)銀 就看她高興了,，呵呵,，估計(jì)也都是一并錄制。不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個(gè)常用任務(wù)出門,，其他的全部阻擋,，當(dāng)然大家最好盡快備份，然后關(guān)門殺毒

包括方新等修改過(guò)的51pywg傳家寶,，和他們破解的其他一切外掛,，這次嫌疑最大的是51PYWG，至于其他合作網(wǎng)站估計(jì)也逃不了關(guān)系,，特別是方新網(wǎng)站,，已經(jīng)被證實(shí)過(guò)多次在網(wǎng)站放木馬，雖然他解釋是被黑了,，但是不能排除其他可能,，特別小心那些啟動(dòng)后連接網(wǎng)站的外掛，不排除啟動(dòng)器本身就有毒,，反正一句話,，這種啟動(dòng)就連接某網(wǎng)站的破解軟件最容易放毒，至于什么時(shí)候放,，怎么方,，比如一天放幾個(gè)小時(shí)，都要看他怎么爽,，用也盡量用那種完全本地破解驗(yàn)證版的,，雖然掛盟現(xiàn)在好像還沒(méi)發(fā)現(xiàn)被放馬或者自己放,，但是千萬(wàn)小心，,，最近傳奇世界傳奇N多人被盜號(hào),，目標(biāo)直指這些網(wǎng)站，以下是最近特別毒的WINLOGON.EXE盜號(hào)病毒清除方法,，注意這個(gè)假的WINLOGON.EXE是在WINDOWS下,，進(jìn)程里頭表現(xiàn)為當(dāng)前用戶或ADMINISTRATOR.另外一個(gè) SYSTEM的winlogon.exe是正常的，那個(gè)千萬(wàn)不要亂刪,，看清楚了,，前面一個(gè)是大寫，后面一個(gè)是小寫,，而且經(jīng)部分網(wǎng)友證實(shí),，此文件連接目的地為河南。

解決“落雪”病毒的方法

癥狀：D盤雙擊打不開,，里面有autorun.inf和pagefile.com文件

做這個(gè)病毒的人也太強(qiáng)了,，在安全模式用Administrator一樣解決不了！經(jīng)過(guò)一個(gè)下午的奮戰(zhàn)才算勉強(qiáng)解決,。 我沒(méi)用什么查殺木馬的軟件,，全是手動(dòng)一個(gè)一個(gè)把它揪出來(lái)把他刪掉的。它所關(guān)聯(lián)的文件如下,，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的,。 所以要在文件夾選項(xiàng)里打開顯示隱藏文件。

D盤里就兩個(gè),，搞得你無(wú)法雙擊打開D盤。C盤里盤里的就多了,！

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe（忘了是不是這個(gè)名字了,，紅色圖標(biāo)有傳奇世界圖標(biāo)的）

C:\WINDOWS\Debug\*** Programme.exe(也是上面那個(gè)圖標(biāo)，名字忘了-_- 好大好明顯非隱藏的)

C:\Windows\system32\command.com 這個(gè)不要輕易刪,，看看是不是和下面幾個(gè)日期不一樣而和其他文件日期一樣,，如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪，當(dāng)然系統(tǒng)文件肯定不是這段時(shí)間的,。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

對(duì)了,，看看這些文件的日期，看看其他地方還有沒(méi)有相同時(shí)間的文件還是.COM結(jié)尾的可疑文件,，小心不

要運(yùn)行任何程序,，要不就又啟動(dòng)了，包括雙擊磁盤

還有一個(gè)頭號(hào)文件,！WINLOGON.EXE,！做了這么多工作目的就是要干掉她?。?！

C:\Windows\WINLOGON.EXE

這個(gè)在進(jìn)程里可以看得到,，有兩個(gè)，一個(gè)是真的,，一個(gè)是假的,。

真的是小寫winlogon.exe，（不知你們的是不是）,，用戶名是SYSTEM,，

而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名,。

這個(gè)文件在進(jìn)程里是中止不了的,，說(shuō)是關(guān)鍵進(jìn)程無(wú)法中止，搞得跟真的一樣,！就連在安全模式下它都會(huì)

呆在你的進(jìn)程里,！ 我現(xiàn)在所知道的就這些，要是不放心,，就最好看一下其中一個(gè)文件的修改日期,，然后用“搜索”搜這天修改過(guò)的文件，相同時(shí)間的肯定會(huì)出來(lái)一大堆的,， 連系統(tǒng)還原夾里都有?。?這些文件會(huì)自己關(guān)聯(lián)的,，要是你刪了一部分,，不小心運(yùn)行了一個(gè)，或在開始－運(yùn)行里運(yùn)行msocnfig,，command,，regedit這些命令，所有的這些文件全會(huì)自己補(bǔ)充回來(lái),！

知道了這些文件,，首先關(guān)閉可以關(guān)閉的所有程序，打開程序附件里頭的WINDOWS資源管理器,，并在上面的工具里頭的文件夾選項(xiàng)里頭的查看里設(shè)置顯示所有文件和文件假,，取消隱藏受保護(hù)操作系統(tǒng)文件，然后打開開始菜單的運(yùn)行,，輸入命令 regedit,，進(jìn)注冊(cè)表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面,，有一個(gè)Torjan pragramme,，這個(gè)明擺著“我是木馬”,，刪！,！

然后注銷,！ 重新進(jìn)入系統(tǒng)后，打開“任務(wù)管理器”,，看看有沒(méi)rundll32,，有的話先中止了，不知這個(gè)是真還是假,，小心為好,。 到D盤（注意不要雙擊進(jìn)入！否則又會(huì)激活這個(gè)病毒）右鍵,，選“打開”,，把a(bǔ)utorun.inf和pagefile.com刪掉，

然后再到C盤把上面所列出來(lái)的文件都刪掉,！中途注意不要雙擊到其中一個(gè)文件,，否則所有步驟都要重新來(lái)過(guò)！ 然后再注銷,。

我在奮戰(zhàn)過(guò)程中,，把那些文件刪掉后，所有的exe文件全都打不開了,，運(yùn)行cmd也不行,。

到C:\Windows\system32 里，把cmd.exe文件復(fù)制出來(lái),，比如到桌面,，改名成cmd.com 嘿嘿 我也會(huì)用com文件，然后雙擊這個(gè)COM文件

然后行動(dòng)可以進(jìn)入到DOS下的命令提示符,。

再打入以下的命令：

assoc .exe=exefile （assoc與.exe之間有空格）

ftype exefile="%1" %*

這樣exe文件就可以運(yùn)行了,。 如果不會(huì)打命令，只要打開CMD.COM后復(fù)制上面的兩行分兩次粘貼上去執(zhí)行就可以了,。

但我在弄完這些之后，在開機(jī)的進(jìn)入用戶時(shí)會(huì)有些慢,，并會(huì)跳出一個(gè)警告框,，說(shuō)文件"1"找不到。（應(yīng)該是Windows下的1.com文件,。）,最后用上網(wǎng)助手之類的軟件全面修復(fù)IE設(shè)置

最后說(shuō)一下怎么解決開機(jī)跳出找不到文件“1.com”的方法：

在運(yùn)行程序中運(yùn)行“regedit”,，打開注冊(cè)表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe"

掛機(jī)聯(lián)盟平臺(tái)都是騙子,，網(wǎng)賺都是騙子,。千萬(wàn)不能相信。這是騙子最后跟我說(shuō)的話,。

我也是那么走過(guò)來(lái)的,，我給你提供兩個(gè)建議

首先

查下他網(wǎng)站最底部的備案號(hào)碼和網(wǎng)站底部是否相符，第二

百度

方圓掛機(jī)聯(lián)盟

空格

騙子

這里的空格和命令里的通用負(fù)的作用相似,，就是所有包含關(guān)鍵詞的你都會(huì)看到

免費(fèi)做的網(wǎng)站怎么掛廣告聯(lián)盟賺錢

網(wǎng)站可以掛聯(lián)盟廣告賺錢,，比如百度聯(lián)盟、360聯(lián)盟,、搜狗聯(lián)盟,、淘寶聯(lián)盟等。

以百度聯(lián)盟為例,，講解一下：

1,、百度搜索一下“百度聯(lián)盟”，點(diǎn)擊右上角的“注冊(cè)”按鈕,；

2,、填寫網(wǎng)站資料和基本的信息，千萬(wàn)不要弄虛作假,，不然審核的時(shí)候可能過(guò)不了,；

3、然后驗(yàn)證一下網(wǎng)站,，方法有兩種,，一種是下載文件傳到網(wǎng)站空間，一種是復(fù)制代碼寫到首頁(yè),。

4,、然后填寫好真實(shí)身份，為的是以后結(jié)賬時(shí)需要,；

5,、等待審核，審核通過(guò)后,，就可以開始登錄,，設(shè)置；

6,、第一次登錄的時(shí)候,，密碼處會(huì)要求你安裝一個(gè)百度安全插件，點(diǎn)擊它進(jìn)行下載,；

7,、然后打開安裝,，安裝在D盤，這個(gè)隨便你怎么選擇,。然后一步步確定就可以了,。