病毒產(chǎn)生的文件名為logonDLL.dll，因此我們就以文件名來稱呼該病毒。該病毒名為logonDLL.dll，但也是歸于機(jī)器狗一類。雖然病毒并沒有替換掉通常機(jī)器狗都會替換的userinit.exe文件，但是同樣具備穿透強(qiáng)大的穿還原的能力。

運(yùn)行該病毒后，病毒閃了一下就沒有了，不會長時間產(chǎn)生一個病毒進(jìn)程。屬于無進(jìn)程，無啟動項，超級隱蔽的病毒。因此很難引起警覺。當(dāng)然越是這樣，對用戶的危害越嚴(yán)重。

病毒運(yùn)行后，僅僅在如下位置產(chǎn)生一個文件：奇怪的是，病毒把自已建立的時間神不知鬼不覺的改成了2003-05-17~如果不是之前已經(jīng)做好了準(zhǔn)備備份了目錄，我無論如何也不敢相信這是剛剛才建立的木馬。它是如何做到的呢？估計在建立的一瞬間改了系統(tǒng)時間，爾后又快速恢復(fù)。讓人產(chǎn)生麻痹。

c:windowssystem32 的目錄

2003-05-17 01:39 49,152 LogonDll.dll

1 個文件 49,152 字節(jié)

0 個目錄 2,679,521,280 可用字節(jié)

#p#副標(biāo)題#e#

查殺過程如下圖示：

下圖①：運(yùn)行病毒后，馬上重啟，雖然有冰點(diǎn)還原的保護(hù)，360仍然顯示發(fā)現(xiàn)病毒~，顯示病毒已經(jīng)成功穿透還原。這時候按查殺的話，會顯示需要重啟清除。事實上重啟清除之后病毒還在，無法清除干凈。

下圖②用機(jī)器狗專殺最新的V2.3（之后才發(fā)現(xiàn)當(dāng)晚已經(jīng)出到2.4版了）掃描，竟然沒有發(fā)現(xiàn)病毒！

#p#副標(biāo)題#e#

  為什么找不到病毒的原因：原來病毒已經(jīng)插入了系統(tǒng)核心進(jìn)程winlogon.exe！怪不得要重啟清除，因為360婁全衛(wèi)士根本沒辦法對系統(tǒng)核心進(jìn)程動手！簡單用冰刃刪掉就干掉了木馬進(jìn)程，現(xiàn)在我們可以隨心所欲的處理這個病毒文件——logonDLL.dll，而不用等到重啟后~

最后解冰點(diǎn)鎖，再冰刃刪掉病毒模塊重啟掃描無毒，顯示殺毒完全成功~！