软博客

　　症状：感染后的计算机运行变慢，打开任何程序都会弹出很多窗口，或者浏览器网页窗口，最终导致计算机没法运行。
　　检测办法：按ctrl+alt+del在任务窗口中如果有一个大写的进程WINLOGON.EXE，那么说明计算机已经被感染了。同时在D盘根目录和C盘系统目录会产生一些病毒文件，只不过由于隐藏一般人无法看到 。
　　推断：WINLOGON.EXE一旦启动，因为和系统核心文件winlogon.exe同名，所以不能手工结束此进程。
　　病毒生成一些诸如finder.com,iexplore.com,command.pif,pagefile.pif,iexplore.pif等文件，让用户每次执行.exe文件都会执行病毒体，从而保证其继续存在。
　　解决办法：
　　思路：由于正常模式下无法结束此进程和删除相关文件，必须进入“带命令提示符”的安全模式，以保证系统最基本的内核运行而不执行任何用户程序。
　　用dos命令attrib,dir,del手工删除相关文件，至于注册表键值修改可以在完成此步骤之后再进行。
　　步骤：重新启动计算机，在即将出现windows 图标之前迅速按下f8，出现选择菜单；
　　选择“带命令提示符的安全模式”；
　　在光标处键入cd\回车，c:回车，键入dir /ah后回车，查看屏幕上是否有时间为近期的*.pif文件，如果有那么键入：
　　attrib -r -s -h 该文件名称（回车）
　　del 该文件（回车）
　　紧接着，进入浏览器的目录：
　　cd c:\program files\internet explorer
　　dir /ah看是否有iexplore.com和finder.com,如果存在，那么attrib -r -s -h iexplore.com
　　然后del iexplore.com
　　执行cd..返回上一级目录，cd common files
　　dir /ah回车，看目录里是否有iexplore.pif文件或者其余后缀的文件，如果有那么还按上述方法删除；
　　按照此种办法，分别将以下这些文件都手工删除：
　　d:\autorun.inf
　　d:\pagefiles.pif
　　C:\WINDOWS\WINLOGON.EXE
　　C:\WINDOWS\1.com (随机的，估计还会有其他的名字，比如2.com,6.com等)
　　C:\WINDOWS\iexplore.com
　　C:\WINDOWS\finder.com
　　C:\WINDOWS\Exeroute.exe
　　C:\WINDOWS\Debug\DebugProgramme.exe(非隐藏的)
　　C:\Windows\system32\command.pif　
　　C:\Windows\system32\msconfig.com
　　C:\Windows\system32\regedit.com
　　C:\Windows\system32\dxdiag.com
　　C:\Windows\system32\rundll32.com
　　C:\Windows\system32\finder.com
　　C:\Windows\system32\a.exe
　　注意，在执行命令时候要特别小心，不要轻易执行上述文件，或者单独打开桌面上的任何其他程序，包括杀毒软件！
　　在执行完上述步骤后，不妨用dir /od /ahs 列一下相关目录下的隐藏文件，最下方的是最近的时间日期。
　　也可以不加/ahs显示正常全部文件，看是否有1.com等这些文件（日期是最近的，比如2008-1-26）。也可以加上/s 文件名来搜索整个目录内是否还有指定文件。
　　确认执行完上述操作后，重新启动计算机进入系统后，会发现所有的exe文件com文件都不能运行了，比如：点IE图标后，提示“找不到c:\program files internetexplorer\iexplore.exe......”,解决办法是：打开我的电脑，选种“工具”菜单－－“文件夹选项”－－“文件类型”－－点“新建”－－输入一个名称“exe文件”，点高级，在关联的文件类型中选“应用程序”，确定两次即可。
　　最后，点开始---运行---regedit.exe,找到键值　
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　将Torjan pragramme这一项删除，如果还有什么C:\windows\system32\realplayer.exe 也删除了。
　　至此，清除完毕！
　　补充：（以下这两种情况，我都未曾碰见也未起作用，但先作为一个参考吧）
　　1）设置exe文件关联的dos命令
　　assoc .exe=exefile （assoc与.exe之间有空格）
　　ftype exefile="%1" %*
　　2）防止提示“文件找不到”的另一种方法：
　　在运行程序中运行“regedit”，打开注册表，在
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"。