一，用第三方的進程管理器干掉winlogon.exe，注意用戶名，用戶名為System的是正常進程

二，打開注冊表編輯器
1，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
? 將值shell = Explorer.exe 1改為shell = Explorer.exe

2，刪除自啟動項
? 到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
? 將Torjan Program（很明顯吧木馬程序）C:\WINNT\winlogon.exe刪了

3，到HKEY_Classes_root\.exe下默認值 winfiles 改為exefile

4.刪除其他無用數據
刪除以下兩個鍵值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

5，搜索iexplore.com，改為iexplore.exe
? 共有這幾項
? HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
? HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
? HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
? HKEY_CLASSES_ROOT\ftp\Shell\open\command

6，搜索iexplore.pif 改為%Program Files%\Internet Explorer\iexplore.exe
? 共有這幾項
? HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
? HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
? HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改為iexplore.exe
? 就是這項
? HKEY_CLASSES_ROOT\Drive\shell\find\command

8，將以下鍵值的 No 修改為 Yes
? HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
?
三，打開我的電腦。要用右鍵打開C盤，不然病毒會在運行。
? 以下基本用是隱藏，系統文件。要在文件夾選項中打開查看所有文件選項。
? 大多數文件日期全為2006／06／17，你也可以用這個來找。
1， 刪除%windir%目錄下的
? ? 1.com
? ? ExERoute.exe
? ? explorer.com
? ? finder.com
? ? WINLOGON.EXE
2， ? 刪除%windir%\system32目錄下的
? ? command.pif
? ? dxdiag.com
? ? finder.com
? ? MSCONFIG.COM
? ? regedit.com
? ? rundll32.com
3， 刪除%Program Files%目錄下的
? Internet Explorer\iexplore.com
? Common Files\iexplore.pif

4， 刪除每個分區下的autorun.inf文件，（這個就是不能直接打開分區的原因）

5， 刪除以下文件夾：%windir%\debug

這樣就基本刪了它了，不足之處請高手指出
順便說一下,我是用Total Commander與Registry workshop來找文件和注冊表的