那个WINDOWS下的WINLOGON.EXE确实是病毒，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，都是隐藏的，删除没用，因为关联了很多东西，只要运行程序，或者双击打开D盘，就会重新自动安装。

解决落雪病毒的方法

症状：D盘双击打不开，里面有autorun.inf和pagefile#com文件

安全模式用Administrator解决无效，经过一个下午的奋战才算勉强解决。手动一个一个的删除。它所关联的绝大多数都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。(C盘里的就多了)

注意：这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘！

还有一个头号文件：WINLOGON.EXE。做了这么多工作目的就是要干掉它。

这个在进程里可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来。

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit.exe，进注册表，到

里面，有一个Torjan programme，这个明摆着“我是木马”，删掉。

接着注销系统！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到D盘（注意不要双击进入，否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile#com删掉，再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中任意一个文件，否则所有步骤都要重新来过！ 然后再注销系统。

恢复文件

把那些文件删掉后，所有的exe文件全都打不开了，运行cmd.exe也不行。

cmd.exe文件复制出来，比如到桌面，改名成cmd#com，然后双击这个COM文件，可以进入到DOS下的命令提示符。

输入如下命令：

assoc .exe=exefile （assoc与.exe之间有空格）

这样exe文件就可以运行了。如果不会打命令，只要打开CMD#COM后复制上面的两行分两次粘贴上去执行就可以了。

解决开机跳出找不到文件“1#com”

若是还是无法执行.EXE文件

下面讲述如何恢复被篡改后的.EXE文件修复工作。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了，因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令，选择“文件类型”标签，在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮，在“文件扩展名”后输入“.exe”，按[高级]按钮，系统自动将其文件类型定义为“应用程序”，按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”，选择它后按[更改]按钮，系统要求选择要使用的程序，可是到底要选择什么应用程序来打开EXE文件？看来这个方法无效，只好按[取消]按钮返回“文件夹选项”对话框。

由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联，所以在“已注册的文件类型”列表中选择“EXE应用程序”，并按[删除]按钮将它删除。由于所有EXE文件都不能执行，所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表，看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键，出现“Windows 2000高级选项菜单”，选其中的“最后一次正确的配置”，进入Windows 2000时仍然报错。只好再次重新启动，这次选“安全模式”，虽然没有报错，但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项，启动成功后在命令提示符窗口的命令行输入：help| more(“|”是管道符号，在键盘上位于Backspace键左边)，在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC显示或修改文件扩展名关联”，按任意键命令提示符窗口，按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口，按[关机]按钮后选择“重新启动”选项，按正常模式启动Windows 2000后，所有的EXE文件都能正常运行了。

利用regedit#com的方法应该是最行之有效的办法：

1、修改regedit.exe 为 regedit#com。

2、 把HKEY_CLASSES_ROOT

winlogon.exe应用程序错误主要是输入法软件注入winlogon所导致的蓝屏。国内windows XP仍有很多，用户可将腾讯电脑管家升级至8.2.9749.224版本，并打开腾讯电脑管家电脑诊所，搜索“winlogon.exe”，找到相关问题，点击一键修复即可完成。

2010年8月24日，安装了小红伞杀毒软件当天升级包的网友纷纷表示，小红伞将其识别为特洛伊木马，命名为TR/Patched#AG Trojan，如果用户选择删除的话，系统重启后可能会无法正常开机。经众多网友分析，此乃小红伞误报，并非本词条中所提及的落雪病毒，请大家放心，下面提供临时解决方法，等待官方发布补丁包！

临时解决方法：打开小红伞 配置(configuration)-勾选专家模式（expert mode），然后在扫描（scan）里面找到设置选项，里面有exception（例外），将winlogon.exe设为排除。待小红伞官方修复后再修改回来。