单凭大小写是无法确定是否是病毒的。你看看d盘能打开吗?如果打不开,可以断定是中毒了。参考一下以下内容: 病毒发作的时候 1。无法双击打开D盘,D盘变成了自动播放,只能靠右键选择"打开" 2。D盘生成2个文件,pagefile。pif以及 f(这个是隐藏文件),打开 f文件,发现里面运行的是OPEN=D:/pagefile。
pif 3。注册表里出现这个HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/{05bea2b3-102d-11da-9a7a-806d6172696f}/Shell/AutoRun/command以及HKEY_USERS/S-1-5-21-1123561945-854245398-1708537768-1003/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/{05bea2b3-102d-11da-9a7a-806d6172696f}/Shell/AutoRun/command,里面启动的就是D:/pagefile。
pif 4。C盘windows目录下生成 等文件 config启动项无法打开(注册表可以打开) 6。杀毒软件无法运行,木马克星无法运行 7。进程里出现另一个winlogon。exe 8。点击Windows窗口左下脚"开始",上方的IE图标无法显示,下面多了个易趣的图标并且链接指向某个网址(出于安全问题,这个网址我不能公开,可能是病毒的网址) 9。
hijackthis这个方法,当时已经把进程里的病毒进程"C:/WINDOWS/WINLOGON。EXE"删掉了,但5秒钟后我重新启动hijackthis扫描的时候,这个进程又出现了。也就是说,它当时还关联了其他病毒程序,并且那个程序并没有在hijackthis扫描出来的列表里出现。
此外,注册表和C:/WINDOWS/的目录里均没有WINLOGON。EXE这个程序。 解决篇: 1。找到D盘的pagefile。pif文件,看它创建的日期是什么时候。删除之。 2。用系统还原功能,把系统还原到病毒产生之前的日期。这样系统进程里就暂时不会有病毒及其相关联的进程。
不过似乎有的人在这时候即使做系统还原也无效(提示是“系统没被修改,无法还原”)。 这时候也可以用另外一种方法:用Windows的搜索功能分别在C盘和D盘查找病毒产生的当天文件,文件大小限制在50K以内,文件名不限。这样大概总共能找到4个左右病毒的MS-DOS相关文件(包括pagefile。
pif),日期和大小都差不多的,删除之。 3。开始---运行---cmd(打开命令提示符) D: dir /a (没有参数A是看不到的,A是显示所有的意思) 此时你会发现D盘有一个 f文件,运行attrib f -s -h -r 去掉 f文件的系统、只读、隐藏属性 最后运行del f 4。
如果上面一步觉得不理解,那么在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",并且取消“隐藏受保护的操作系统文件”,这样你就会在D盘看到一个隐藏文件 f,这个文件的产生日期果然是我机器中毒当天12月27日(记得把只读属性取消)。打开这个文件,可以看到它自动运行的内容,如下: CODE: [Copy to clipboard] [autorun] OPEN=D:/pagefile。
pif 将 f文件删除。 5。开始---运行---regedit(打开注册表) 查找pagefile。pif,并将其整个shell子键删除。至此,病毒完美删除。 另外给出你一个专杀的软件: 。
在文件夹选项里打开显示隐藏文件 D盘里就两个 D:\ f D:\ C:\Program Files\Internet Explorer\ C:\Program Files\Common Files\ C:\WINDOWS\ C:\WINDOWS\ C:\WINDOWS\ C:\WINDOWS\Exeroud。
exe C:\WINDOWS\Debug\*** Programme。exe C:\Windows\system32\ 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\ C:\Windows\system32\ C:\Windows\system32\ C:\Windows\system32\ C:\Windows\system32\ C:\Windows\system32\a。
exe 知道了这些文件,首先关闭所有程序,打开程序附件里头的WINDOWS资源管理器,并在工具里的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 进入到DOS下的命令提示符。
再打入以下的命令: assoc 。exe=exefile (assoc与。exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。 运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中 把"Shell"="Explorer。
exe 1"恢复为"Shell"="Explorer。exe" 此方法虽繁些,但可以清除此病毒。
我可以向你推荐一款最好的世界第一的杀木马的软件EWIDO 你可以试试 不错的 下载地址: 你下载后更新一下 然后进入安全模式(开机按F8) 进行全面的杀毒 祝你好运
我也遇到这个病毒,能帮你的就是这些了,建议你还是重装系统。 我是点激一张龙的图片感染的。 也可以参考这个上面的,原来是偷传奇密码的家伙,我说为什么显示的图表是龙呢,我开始在启动项中发现的。祝你好运! 一、结束WINLOGON。EXE进程。
二、下载RegFix(一个注册表修复工具)。将Regfix。exe的后缀改为scr,按确定。双击 r,自动修复注册表主要文件关联项。 三、找到并删除下列文件(见附图)。 四、修改被木马篡改的注册表项: 1、HKEY_CLASSES_ROOT\。
lnk\ShellNew "Command"=" appwiz。cpl,NewLinkHere %1" 删除"Command"=" 2、HKEY_CLASSES_ROOT\。bfc\ShellNew "Command"="%SystemRoot%\\system32\\ %SystemRoot%\\system32\\syncui。
dll,Briefcase_Create %2!d! %1" 将"Command"="%SystemRoot%\\system32\\ 改为"Command"="%SystemRoot%\\system32\\rundll32。exe 3、HKEY_CLASSES_ROOT\Applications\iexplore。
exe\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\ \" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" %1" 4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 将@="\"C:\\Program Files\\Internet Explorer\\ \""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\"" 5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command @=" shell32。dll,Control_RunDLL \"%1\",%*" 删除@=" 6、HKEY_CLASSES_ROOT\Drive\shell\find\command 将@="%SystemRoot%\\ "改为@="%SystemRoot%\\explorer。
exe" 7、HKEY_CLASSES_ROOT\dunfile\shell\open\command 将@="%SystemRoot%\\system32\\ NETSHELL。DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32。
exe NETSHELL。DLL,InvokeDunFile %1" 8、HKEY_CLASSES_ROOT\ftp\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\ \" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" %1" 9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\ \" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore。
exe\" -nohome" 10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 删除@="\"C:\\Program Files\\common~1\\iexplore。pif\" %1" 11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command 删除@= 12、HKEY_CLASSES_ROOT\inffile\shell\Install\command 删除@="%SystemRoot%\\System32\\ 13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command 删除@=" 14、HKEY_CLASSES_ROOT\scrfile\shell\install\command 删除@=" 15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command 删除@="\"C:\\WINDOWS\\system32\\ \" 16、HKEY_CLASSES_ROOT\telnet\shell\open\command 删除@=" 17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command 删除@="%SystemRoot%\\system32\\ 18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command 删除@="C:\\WINDOWS\\ExERoute。
exe \"%1\" %*" 19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除"Torjan Program"="C:\\WINDOWS\\WINLOGON。
EXE" 20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 将"Shell"="Explorer。exe 1"改为"Shell"="Explorer。
exe"。
是落雪病毒,解决方法: 落雪木马专杀工具: 然后进入“安全模式”,先用落雪木马专杀的查杀功能查杀一下,然后再选择落雪木马专杀的修复功能修复(选择全自动修复功能修复)。如果在使用落雪木马专杀过程中出现蓝屏和死机,则说明你机器严重破坏,建议恢复操作系统。
答:正常情况下winlogon.exe进程应该是小写,用户名为SYSTEM。而伪装成winlogon.exe进程的“落雪”病毒一般是大写,用户名是当前系统用户名。但...详情>>
答:可能是盗版的使用KV2005详情>>
答:你只需要重起电脑,点击F8进入安全模式,选择Administrator用户进入,你在控制面板里的用户管理里,就可以任意更改你的管理员密码详情>>
