中了c:\windows\system32\wbem\winlogon.exe的标后
重启
你会不停的看到鼠标的沙漏，打开任务管理器，会不断的看到陌生的进程
系统开始缓慢，我知道，它在远程下载并安装
且等它
十分钟后，我再重启，这时候会不断的弹出网站。主页会给改为7939
可恨的是，鼠标还在不断的沙漏。
扫个日志
发现有以下可疑的项

启动项目
注册表
C:\WINDOWS\system32\Realplayer.exe
c:\program Files\忆多多\MyShares.exe
C:\DOCUME~1\xu\LOCALS~1\Temp\setup.exe
C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\pcast\hbcast.dll
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\SetupCmd030.exe
c:\WINDOWS\system32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll
服务
[ASP.NET Work State Service / aspwstate]
  <C:\WINDOWS\System32\svchost.exe -k aspwstate-->c:\windows\system32\aspwswin.dll><Microsoft Corporation>
NetFrame Wireless Configuration / NFSWZCSVC]
  <C:\WINDOWS\System32\svchost.exe -k NFSWZCSVC-->c:\windows\system32\nfswzwin32.dll><Microsoft Corporation>
驱动
Albus / Albus]
  <\SystemRoot\system32\drivers\Albus.SYS><N/A>
[cdnprot / cdnprot]
  <\SystemRoot\system32\drivers\cdnprot.sys><中国互联网络信息中心(CNNIC)>
浏览器加载项
C:\WINDOWS\system32\sys32dev.dll
C:\WINDOWS\system32\usercrd.dll
C:\PROGRA~1\pcast\hbcast.dll
C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
C:\PROGRA~1\MMSASS~1\mmsass~1.dll
C:\WINDOWS\SYSTEM32\stdup.dll
C:\WINDOWS\system32\IEHelper.dll
c:\Program Files\coolsign\coolsign.dll
C:\PROGRA~1\pcast\hbcast.dll
正在运行的进程
c:\windows\system32\acss.dll
C:\WINDOWS\system32\sdmAgent22.dll
C:\Program Files\CNNIC\Cdn\cdnforie.dll
C:\WINDOWS\system32\sys32dev.dll
C:\WINDOWS\system32\usercrd.dll
C:\PROGRA~1\MMSASS~1\mmsass~1.dll
C:\PROGRA~1\MMSASS~1\albus.dll
C:\WINDOWS\SYSTEM32\stdup.dll
C:\WINDOWS\system32\Rsvtub.dll
C:\Program Files\DeskAdTop\fshook.dll
C:\Program Files\Common Files\UPDATE2\Update.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
c:\windows\system32\wbem\winlogon.exe
C:\WINDOWS\System32\STDSVER.DLL
C:\DOCUME~1\xu\LOCALS~1\Temp\RarSFX1\setup.exe
HOSTS 文件
127.0.0.1      localhost
59.34.148.98      www.hao123.com
59.34.148.98      www.4199.com
59.34.148.98      www.9505.com
59.34.148.98      www.7322.com
218.5.76.175      www.huoche.com.cn

得，看来我删除的速度没有它下载的快，我到安全模式再杀它。
在安全模式下，第一招，就是下载超级兔子，完美卸载这把流氓软件

兔子的作用很明显，在安全模式下
完美卸载了
7939
c:\Program Files\coolsign
C:\PROGRA~1\pcast
c:\program Files\忆多多
C:\WINDOWS\SYSTEM32\stdup.dll
C:\PROGRA~1\CNNIC\
C:\Program Files\DeskAdTop
C:\Program Files\Common Files\UPDATE2
C:\PROGRA~1\MMSASS~1
省去很多时间

打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），点“启动项目，服务，点“Win32服务应用程序”勾选“隐藏微软服务”选中病毒服务ASP.NET Work State Service，NetFrame Wireless Configuration ，选择“删除服务”点“设置”选择“否”最后重启。（每一个逗号隔开的就是一个病毒的服务，请逐一删除）

打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），点“启动项目，服务，点“驱动程序”勾选“隐藏以认证的微软服务”选中病毒服务Albus ，选择“删除服务”点“设置”选择“否”

（以上所要删除的服务其实不止这么三个，在删除时，你还会发现几个可疑的服务，不明白为什么SRE在日志中并没扫出来，而在删除中却能发现）

关闭所有浏览窗口以及一些不必要的程序
打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，浏览器加载项”来删除以下选项。
c:\WINDOWS\system32\sys32dev.dll
C:\WINDOWS\system32\usercrd.dll
C:\WINDOWS\system32\IEHelper.dll

删除（关键第2、3项，这两项一定要删除）
c:\windows\system32\acss.dll
C:\WINDOWS\system32\sdmAgent22.dll
C:\WINDOWS\system32\sys32dev.dll
C:\WINDOWS\system32\usercrd.dll
c:\windows\system32\wbem\winlogon.exe
C:\WINDOWS\System32\STDSVER.DLL
C:\Documents and Settings\你的用户名\Local Settings\Temp删除这个文件夹所有能删除的东东。（见图中所删除的东东）
打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，点HOSTS 文件
删除
59.34.148.98      www.hao123.com
59.34.148.98      www.4199.com
59.34.148.98      www.9505.com
59.34.148.98      www.7322.com
218.5.76.175      www.huoche.com.cn

最后
打开System Repair Engineer（也就是你的扫描日志软件SREng.exe），使用“系统修复，Internet Explorer”“全选”“修复"

你这样试试，打开一个IE窗口，工具，internte选项，点“删除文件”弹出一个窗口勾选“删除所有脱机内容”删除cookies,确定。

C:\WINDOWS\和C:\WINDOWS\system32\目录中还有很多病毒下载的程序，我只是随手看到就删除而已，实际上，不删除它们，它们只是垃圾，只要不双击就不会有问题，所以，不必刻意删除。

最后，重启，以c:\windows\system32\wbem\winlogon.exe不在运行而解决问题。

高手!顶下!

靠
winlogon.exe是个很顽固的东西，再加上quartz32.dll.我都快崩溃了。
无奈已经重装了。

这两天又有人中了。顶一下帖

无邪辛苦，是个BT的下载器，行为和c:\windows\system32\wbem\smss.exe相似，应该是同个作者所为