此病毒雖已成為過去，但問題比較經(jīng)典，現(xiàn)把查殺方法寫出來，舉一反三，希望對(duì)大家有所幫助!
這個(gè)木馬可能會(huì)釋放出QQ尾巴msinfo.rx是在C:Program FilesCommon Filesmicrosoft sharedmsinfo內(nèi)，是隱藏文件，啟動(dòng)QQ后會(huì)加載到QQ.exe、TIMPlatform.exe線程內(nèi)，可在安全模式下刪除 。另C:Program FilesInternet ExplorerPLUGINS內(nèi)也會(huì)生成systme.sys木馬文件，安全模式下可刪除!這是在清理同事機(jī)器時(shí)發(fā)現(xiàn)的，是否和“落雪”關(guān)聯(lián)，還不清楚，大家要注意下 。
同事的機(jī)器種病毒了，我檢查了一下，發(fā)現(xiàn)進(jìn)程里多出一個(gè)大寫的WINLOGON，是在winnt目錄下的，而正常情況下，這個(gè)進(jìn)程應(yīng)該是在winnt/system32目錄下的，看來一定有鬼 。
查了下注冊(cè)表的啟動(dòng)項(xiàng)，里面果然有個(gè)異常的Torjan pragramme，可以換到安全模試下刪除后，重啟又會(huì)出現(xiàn)，看來這個(gè)東西不簡(jiǎn)單 。
上網(wǎng)搜了下，原來是個(gè)叫“落雪”的病毒，好美的名字啊 。
下面把搜到的解決方法分享下：
這個(gè)進(jìn)程是不是一個(gè)傳奇世界程序的圖標(biāo)使用51破解版?zhèn)骷覍殨?huì)生產(chǎn)一個(gè)WINLOGON.EXE進(jìn)程，正常的winlogon系統(tǒng)進(jìn)程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe 。而偽裝成該進(jìn)程的木馬程序其用戶名為當(dāng)前系統(tǒng)用戶名，且程序名為大寫的WINLOGON.exe 。進(jìn)程查看方式 ctrl alt del 然后選擇進(jìn)程 。正常情況下有且只有一個(gè)winlogon.exe進(jìn)程，其用戶名為“SYSTEM” 。如果出現(xiàn)了兩個(gè)winlogon.exe，且其中一個(gè)為大寫，用戶名為當(dāng)前系統(tǒng)用戶的話，表明可能存在木馬 。
這個(gè)木馬非常厲害，能破壞掉木馬克星，使其不能正常運(yùn)行 。目前我使用其他殺毒軟件未能查出 。那個(gè)WINDOWS下的WINLOGON.EXE確實(shí)是病毒，但是，她不過是這個(gè)病毒中的小角色而已，大家打開D盤看看是否有一個(gè)pagefile的DOS指向文件和一個(gè)autorun.inf文件了，呵呵，當(dāng)然都是隱藏的，刪這幾個(gè)沒用的，因?yàn)樗P(guān)聯(lián)了很多東西，甚至在安全模式都難搞，只要運(yùn)行任何程序，或者雙擊打開D盤，她就會(huì)重新被安裝了，呵呵，這段時(shí)間很多人被盜就是因?yàn)檫@個(gè)破解的傳家寶了，而且殺毒軟件查不出來，有人叫這個(gè)病毒為 ”落雪“ 是專門盜傳奇?zhèn)髌媸澜绲哪抉R，至于會(huì)不會(huì)盜其他帳號(hào)如QQ，網(wǎng)銀 就看她高興了，呵呵，估計(jì)也都是一并錄制 。不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個(gè)常用任務(wù)出門，其他的全部阻擋，當(dāng)然大家最好盡快備份，然后關(guān)門殺毒包括方新等修改過的51pywg傳家寶，和他們破解的其他一切外掛，這次嫌疑最大的是51PYWG，至于其他合作網(wǎng)站估計(jì)也逃不了關(guān)系，特別是方新網(wǎng)站，已經(jīng)被證實(shí)過多次在網(wǎng)站放木馬，雖然他解釋是被黑了，但是不能排除其他可能，特別小心那些啟動(dòng)后連接網(wǎng)站的外掛，不排除啟動(dòng)器本身就有毒，反正一句話，這種啟動(dòng)就連接某網(wǎng)站的破解軟件最容易放毒，至于什么時(shí)候放，怎么方，比如一天放幾個(gè)小時(shí)，都要看他怎么爽，用也盡量用那種完全本地破解驗(yàn)證版的，雖然掛盟現(xiàn)在好像還沒發(fā)現(xiàn)被放馬或者自己放，但是千萬小心，，最近傳奇世界傳奇N多人被盜號(hào)，目標(biāo)直指這些網(wǎng)站，以下是最近特別毒的WINLOGON.EXE盜號(hào)病毒清除方法，注意這個(gè)假的WINLOGON.EXE是在WINDOWS下，進(jìn)程里頭表現(xiàn)為當(dāng)前用戶或ADMINISTRATOR.另外一個(gè) SYSTEM的winlogon.exe是正常的，那個(gè)千萬不要亂刪，看清楚了，前面一個(gè)是大寫，后面一個(gè)是小寫，而且經(jīng)部分網(wǎng)友證實(shí)，此文件連接目的地為河南 。
解決“落雪”病毒的方法
癥狀：D盤雙擊打不開，里面有autorun.inf和pagefile.com文件
做這個(gè)病毒的人也太強(qiáng)了，在安全模式用Administrator一樣解決不了!經(jīng)過一個(gè)下午的奮戰(zhàn)才算勉強(qiáng)解決 。我沒用什么查殺木馬的軟件，全是手動(dòng)一個(gè)一個(gè)把它揪出來把他刪掉的 。它所關(guān)聯(lián)的文件如下，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的 。所以要在文件夾選項(xiàng)里打開顯示隱藏文件 。

推薦閱讀

• 

  blaaloo是華為什么型號(hào) blaaloo是華為哪個(gè)型號(hào)
• 

  小烤箱烤6寸蛋糕時(shí)間
• 

  具體指現(xiàn)在哪里 西游記的女兒國(guó)是現(xiàn)在的什么地方
• 

  簡(jiǎn)單說說心情致自己
• 

  XP組策略禁止gpedit.msc死鎖的解決方案
• 

  快速撥打電話號(hào)碼和查找聯(lián)系人
• 

  粉紅燒麥做法圖解 查看我的菜譜吧！
• 

  無錫事業(yè)單位可以申請(qǐng)技能提升補(bǔ)貼嗎？
• 

  圖說｜魔高一尺道高一丈！掌握這10條公式一眼識(shí)電詐
• 

  夜景燈籠怎么拍才能曝光正確
• 

  iphonese2現(xiàn)在價(jià)格 瀏覽更多iphone
• 

  寶馬大燈清洗裝置如何用
• 

  進(jìn)口版xf軸距多長(zhǎng)
• 

  風(fēng)色軌跡什么職業(yè)爬塔,《風(fēng)色軌跡》神秘新資料片
• 

  etc黑名單怎么解除 etc顯示黑名單怎么回事
• 

  銷售難在哪里?,土雞需求一直都在

• 3G時(shí)代的T610　K610志在創(chuàng)造3G經(jīng)典
• 《長(zhǎng)月燼明》經(jīng)典臺(tái)詞語錄大全 《長(zhǎng)月燼明》原著小說臺(tái)詞摘抄句子
• 電器鼠是什么梗
• 使用Windows防火墻十大經(jīng)典問題薈萃
• 麥九的小說的經(jīng)典語錄
• 上 諾基亞經(jīng)典中經(jīng)典手機(jī)回顧1998--2002
• 家居宣傳語 家居宣傳語應(yīng)該怎么寫
• 二 經(jīng)典的8250
• 中 諾基亞經(jīng)典中經(jīng)典手機(jī)回顧2002--2003
• 蒙恬有什么經(jīng)典的戰(zhàn)役