表现症状：双击盘符无法打开，或出现自动播放，在盘根目录下出现autorun.inf和pagefile.***文件，同时修改了大量的文件关联。打开任务管理器，出现大写的WINLOGON.EXE,该东东为盗号马，曾见过对该马的定义名称，为“落雪”
释放文件：
D:\pagefile.com
C:\Program Files\Common Files\iexplore.com
%windir%\1.com
%windir%\iexplore.com
%windir%\finder.com
%windir%\Exeroud.exe
%windir%\Debug\DebugProgramme.exe
%system%\command.com
%system%\msconfig.com
%system%\regedit.com
%system%\dxdiag.com
%system%\rundll32.com
%system%\finder.com
%windir%\WINLOGON.EXE
基本过程为：

1.终止进程WINLOGON.EXE
终止进程可采用进程杀手或Procexp等工具来实现，注意别把小写的winlogon给禁止了
再进入注册表,删除如下
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan pragramme

2.恢复文件关联
修复文件关联可采用置顶日志里的反病毒常用工具里的东东

3.逐一删除染毒文件，清理或恢复注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe 1"
更改为
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe "
把上面被列出后缀为com的文件在注册表里搜索，找到后，在注册表里的文件后缀由.com改为.exe

书面表达跟不上了，看似上面简单3个步骤，可中间无数次重启，小心翼翼的操作，在整个处理过程中，多数会犯错

江民和瑞星先后推出该系列马专杀工具，请访问
http://www.ljack.com.cn/post/138.html

【2007.2.5更新】该木马是2006年夏天比较猖獗的木马，众多杀软都为此发布有专杀工具，比如瑞星的橙色八月等。由于其他木马也释放类似WINLOGON.EXE的东东，我无法确定来访者的情况与本文描述符合，建议来访者
1、使用几个反病毒厂商的专杀工具来处理
2、如果所中马跟本文描述无关，就立即闪人吧
3、如果类似，也同样有autorun.inf之类的东西，建议访问这里

提醒一下：
1、说明一下，这篇日志可能不符合你们所中的病毒，很简单，假若文中描述的病毒是A病毒，而你们中的是B病毒或C病毒等等，它们是完全不同的，相同的一点可能是它们会利用Winlogon来伪装自己，其实差别是十万八千里

2、WINLONGON以及其他系统进程比如，SMSS.EXE、LSASS.EXE、CSRSS.EXE 等等，大小写没所谓的，关键是该程序所在的路径，这些系统文件都在%system32%里，这时它们是正常的，假若在%windows%里，则多半有问题

3、还有一个假象，比如见到WINLOG0N.exe，要仔细看那个是字母O还是数字0，比如1SASS，要仔细看那个是字母L还是数字1，等等，病毒是狡猾的，需要我们的眼神好一些。