瑞星卡卡安全论坛

我的电脑里现在有一个进程是映像名称：winlogon.exe（小写的），用户名：cucu(不是system用户)，请问这是病毒吗？？？？
我用瑞星卡卡扫描，扫描到有恶意程序33063204，我把图片发过来，大家看一下。用卡卡清除这个程序后提示重启电脑，重启后再扫描还有这个东西。请问哪个高手知道怎么杀掉它。谢谢！！！

附件: 80592020061217180014.jpg

到安全模式下试试

这个病毒是03年初的产品了，今年给人重新包装，又闪亮登场了。

首先是在windows目录下植入了Logo1_.exe这个文件，然后在相同目录下释放出rundl132.exe，它可以感染你所有可执行文件，你双击被感染后的文件又会中招。这个病毒诺顿是可以查杀的，但干得不彻底。

其次，这个病毒还会释放出一些其他病毒，比较令人头大的就是你说的winlogin.exe，它的那几个病毒文件一旦给杀毒软件杀掉，就自动替换注册表，使你.exe都不能打开。

所以要解决这个东西还是相当有技术含量的。

你先要做个准备，打开我的电脑——工具——文件夹选项——查看——把“隐藏已知文件扩展名”勾去掉
到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com

一旦.exe文件不能打开了，就双击cmd.com，进入MS-DOS
打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
就能恢复

我给你介绍一下我怎么干掉他们的.

第一步：干掉Logo1_.exe进程，删掉Logo1_.exe和rundl132.exe，新建两个以Logo1_.exe和rundl132.exe命名的文件夹在相同位置，文件夹属性勾上只读，隐藏。同时删除注册表中含rundl132.exe的项目，HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows，把load后面的值删掉（呵呵，编在打印机的启动项里，很毒啊）,如果你没中这个Logo1_.exe，那最好了，呵呵

第二步：干掉假的winlogon.exe，
1。你打开进程管理器，查看—选择列—勾上PID。然后再看进程管理器，每个进程都有个PID号的，假的winlogon.exe一般是大写，但也有小写的，那你可以看它占的内存，多的那个是假的。记下PID号。
2。运行—CMD（你如果exe已经不能打开了，那就照你找的那个方法，打开DOS后，键入ntsd -c q -p (pid号），回车，恩，这个进程就干掉了。
3。然后你可以大摇大摆地把windows目录下的winlogon.exe给干掉了，别忘了建个同名的文件夹在相同位置，文件夹属性勾上只读，隐藏
4。干掉 1.com,建个同名文件夹在相同位置，文件夹属性勾上只读，隐藏。

5。重启
到这一步，你已经把这个问题解决了大半，但还没完。

7。重启后你会发现不再有两个winlogon.exe进程了，但马上又会出现一个1.com的文件夹，这就是为啥我要你建刚才那个1.com文件夹的道理。问题出在你的注册表里。不过别急，先把那些乱七八糟的病毒文件干掉。（干掉后，你的.exe文件又不行了,当然，你应该知道怎么改回来了吧）

8。打开注册表编辑器，把HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，你会发现shell键的值是Explorer.exe 1, 把1删掉，（这就是你开机1.com会执行的奥秘）。但不能把Explorer.exe删掉，这是你进系统的关键进程，就是说正常情况下shell键的值是Explorer.exe

9。还是注册表编辑器，查找iexplore.com，把找到的都改成iexplore.exe 这样基本大功告成了。有时间把那几个病毒文件都在注册表里搜一下，弄弄干净，不过不弄也没多大关系了。

这几步只是解决winlogon.exe这个东东，还没完全搞掉Logo1_.exe，你如果在你机器里发现Logo1_.exe，那再跟个贴哈

威金病毒新变种

我晕了，就在我正看怎么干掉winlogon.exe的时候，我打开进程窗口，发现里面有三个winlogon.exe文件了，两个是我用户里面的，晕死了。！！！！

扫个Hijackthis日志看一下

汗！！
不知2楼在说些什么。
你根本就没注意楼主的图。

我的电脑也有    瑞星一直提示他试图联网  我一拒绝有弹出来了    而且瑞星还查出两个病毒,    这个winlogos.exe到底是什么啊  ?    :kaka2: