winlogon.exe正常進(jìn)程信息：

進(jìn)程文件： winlogon or winlogon.exe

進(jìn)程名稱(chēng)： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陸管理器。它用于處理你系統(tǒng)的登陸和登陸過(guò)程。該進(jìn)程在你系統(tǒng)的作用是非常重要的。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統(tǒng)進(jìn)程： 是

后臺(tái)程序： 是

使用網(wǎng)絡(luò)： 否

硬件相關(guān)： 否

常見(jiàn)錯(cuò)誤： 未知N/A

內(nèi)存使用： 未知N/A

安全等級(jí) (0-5): 0

間諜軟件： 否

Adware: 否

病毒： 否

木馬： 否

感染后的winlogon.exe病毒進(jìn)程：

winlogon.exe也可能是W32.Netsky.D@mm蠕蟲(chóng)病毒。該病毒通過(guò)Email郵件傳播，當(dāng)你打開(kāi)病毒發(fā)送的附件時(shí)，即會(huì)被感染。該病毒會(huì)創(chuàng)建SMTP引擎在受害者的計(jì)算機(jī)上，群發(fā)郵件進(jìn)行傳播。該病毒允許攻擊者訪問(wèn)你的計(jì)算機(jī)，竊取密碼和個(gè)人數(shù)據(jù)。該進(jìn)程的安全等級(jí)是建議刪除。

如果你發(fā)現(xiàn)你的系統(tǒng)程序里面有一個(gè)大寫(xiě)的WINLOGON.EXE，一個(gè)小寫(xiě)winlogon.exe，那么恭喜你，你中了“落雪”病毒.大寫(xiě)的 WINLOGON.EXE就是病毒文件,“落雪”木馬也叫“游戲大盜”(Trojan/PSW.GamePass），由VB程序語(yǔ)言編寫(xiě)，通過(guò) nSPack3.1加殼處理（即通常所說(shuō)的“北斗殼”NorthStar），該木馬文件圖標(biāo)一般是紅色的圖案，偽裝成網(wǎng)絡(luò)游戲的登陸器。

winlogon.exe病毒感染情況分析：

落雪病毒運(yùn)行后，在C盤(pán)programfile以及windows目錄下生成

C:windowswinlogon.exe

C:WINDOWS.com

C:WINDOWSExERoute.exe

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSsystem32command.pif

C:Windowssystem32command.com

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32finder.com

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32regedit.com

C:WINDOWSsystem32rundll32.com

C:WindowsWINLOGON.EXE

C:WINDOWSservices.exe

C:WINDOWSDebugDebugProgramme.exe

等多個(gè)病毒文件，病毒文件之多比較少見(jiàn)，，事實(shí)上這14個(gè)不同文件名的病毒文件系同一種文件，“落雪”之名亦可能由此而來(lái)。病毒文件名被模擬成正常的系統(tǒng)工具名稱(chēng)，但是文件擴(kuò)展名變成了.com。這是病毒利用了Windows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級(jí)比EXE文件高的特性，這樣，當(dāng)用戶調(diào)用系統(tǒng)配置文件Msconfig.exe的時(shí)候，一般習(xí)慣上輸入Msconfig，而這是執(zhí)行的并不是微軟的Msconfig.exe程序，而是病毒文件 Msconfig.com，落雪病毒作者的“良苦用心”由此可見(jiàn)。病毒另一狡詐之處還有，病毒還創(chuàng)建一名為winlogon.exe的進(jìn)程，并把 winlogon.exe的路徑指向c:windowsWINLOGON.EXE，而正常的系統(tǒng)進(jìn)程路徑是 C:WINDOWSsystem32winlogon.exe，以此達(dá)到迷惑用戶的目的。

除了在C盤(pán)下生成很多病毒文件外，病毒還修改注冊(cè)表文件關(guān)聯(lián)，每當(dāng)用戶點(diǎn)擊html文件時(shí)，都會(huì)運(yùn)行病毒。此外，病毒還在其他盤(pán)下生成一個(gè) autorun.inf和一個(gè)pagefile.com的文件自動(dòng)運(yùn)行批處理文件，這樣即使C盤(pán)目錄下的病毒文件被清除，當(dāng)用戶打開(kāi)D盤(pán)時(shí)，病毒仍然被激活運(yùn)行。這也是許多用戶反映病毒屢殺不絕的原因。

winlogon.exe病毒手動(dòng)查殺方案：

WINLOGON.EXE病毒，近來(lái)在網(wǎng)絡(luò)很流行，許多朋友都中了，許多殺毒軟件能查到，但是無(wú)論如何都無(wú)法清除。

不知道什么原因，這個(gè)病毒的中文譯名叫做“落雪”，又叫“飄雪”，很美吧？

我檢查了一下，發(fā)現(xiàn)進(jìn)程里多出一個(gè)大寫(xiě)的WINLOGON，是在winnt或windows目錄下的，而正常情況下，這個(gè)進(jìn)程應(yīng)該是在winnt或 windows/system32目錄下的，此進(jìn)程不言而知。注冊(cè)表下的啟動(dòng)項(xiàng)，里面有個(gè)Torjan pragramme的啟動(dòng)項(xiàng)目，不能徹底刪除。

以下是刪除的方法：

這個(gè)進(jìn)程WINLOGON.EXE的用戶名是用戶自己，因此不可能是正常的系統(tǒng)進(jìn)程，正常的winlogon系統(tǒng)進(jìn)程，其用戶名為“SYSTEM” 程序名為小寫(xiě)winlogon.exe。而偽裝成該進(jìn)程的木馬程序其用戶名為當(dāng)前系統(tǒng)用戶名，且程序名為大寫(xiě)的WINLOGON.exe。進(jìn)程查看方式 ctrl+alt+del 然后選擇進(jìn)程。正常情況下有且只有一個(gè)winlogon.exe進(jìn)程，其用戶名為“SYSTEM”。如果出現(xiàn)了兩個(gè)winlogon.exe，且其中一個(gè)為大寫(xiě)，用戶名為當(dāng)前系統(tǒng)用戶的話，表明可能存在木馬。

這個(gè)木馬非常厲害，能破壞掉木馬克星等許多著名的殺毒軟件，使其不能正常運(yùn)行，就算能正常運(yùn)行，也會(huì)錯(cuò)誤殺毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯，人工也可以看出，那個(gè)WINDOWS下的WINLOGON.EXE確實(shí)是病毒，但是，她不過(guò)是這個(gè)病毒中的小角色而已，大家用鼠標(biāo)右鍵【打開(kāi)】，打開(kāi)D盤(pán)看看是否有一個(gè)pagefile的DOS指向文件和一個(gè)autorun.inf文件了，這些當(dāng)然都是隱藏的，刪這幾個(gè)沒(méi)用的，因?yàn)樗P(guān)聯(lián)了很多東西，甚至在安全模式都不能刪死，只要運(yùn)行任何程序，或者雙擊打開(kāi)D盤(pán)，她就會(huì)重新被安裝了。而且這段時(shí)間很多人的帳號(hào)被盜就是因?yàn)檫@個(gè)解除的傳家寶了。

我分析了一下這個(gè)木馬的資料，連接是通向河南和天津的某一地區(qū)，看來(lái)是國(guó)內(nèi)的。而且她很有趣，如果你機(jī)子上有傳奇等游戲，必然惹來(lái)她的親吻，那么說(shuō)QQ之類(lèi)的帳號(hào)密碼會(huì)不會(huì)被泄漏，這個(gè)不清楚，但起碼我有些朋友已經(jīng)被盜了。

解決“落雪”病毒的方法

癥狀：D盤(pán)雙擊打不開(kāi)，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系統(tǒng)的運(yùn)作，因此此兩個(gè)文件難以刪除，在安全模式用Administrator一樣解決不了！經(jīng)過(guò)一個(gè)下午的奮戰(zhàn)才算勉強(qiáng)解決。 我沒(méi)用什么查殺木馬的軟件，全是手動(dòng)一個(gè)一個(gè)把它揪出來(lái)把他刪掉的。它所關(guān)聯(lián)的文件如下，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。 所以要在文件夾選項(xiàng)里打開(kāi)顯示隱藏文件。

D盤(pán)里就兩個(gè)，搞得你無(wú)法雙擊打開(kāi)D盤(pán)。C盤(pán)很多相關(guān)文件程序

D:autorun.inf

D:pagefile.com

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe（傳奇的圖標(biāo)，很漂亮）

C:WINDOWSDebug*** Programme.exe（也是上面那個(gè)圖標(biāo)，名字每臺(tái)機(jī)子都不同，但是明顯是非隱藏的）

C:Windowssystem32command.com 這個(gè)不要輕易刪，看看是不是和下面幾個(gè)日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪，當(dāng)然系統(tǒng)文件肯定不是這段時(shí)間的。

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

值得注意的是：看看這些文件的日期，看看其他地方還有沒(méi)有相同時(shí)間的文件還是.COM結(jié)尾的可疑文件，小心不要運(yùn)行任何程序，要不就又啟動(dòng)了，包括雙擊磁盤(pán)，還有一個(gè)頭號(hào)文件！WINLOGON.EXE！做了這么多工作目的就是要離開(kāi)她的親吻！

C:WindowsWINLOGON.EXE

這個(gè)在進(jìn)程里明顯可以看得到，有兩個(gè)，一個(gè)是真的，一個(gè)是假的。

真的是小寫(xiě)winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，

而假的是大寫(xiě)的WINLOGON.EXE，用戶名是你自己的用戶名。

這個(gè)文件在進(jìn)程里是中止不了的，說(shuō)是關(guān)鍵進(jìn)程無(wú)法中止，搞得跟真的一樣！就連在安全模式下它都會(huì)

呆在你的進(jìn)程里！ 我現(xiàn)在所知道的就這些，要是不放心，就最好看一下其中一個(gè)文件的修改日期，然后用“搜索”搜這天修改過(guò)的文件，相同時(shí)間的肯定會(huì)出來(lái)一大堆的， 連系統(tǒng)還原夾里都有?。?這些文件會(huì)自己關(guān)聯(lián)的，要是你刪了一部分，不小心運(yùn)行了一個(gè)，或在開(kāi)始－運(yùn)行里運(yùn)行msocnfig，command，regedit這些命令，所有的這些文件全會(huì)自己補(bǔ)充回來(lái)！

知道了這些文件，首先關(guān)閉可以關(guān)閉的所有程序，打開(kāi)程序附件里頭的WINDOWS資源管理器，并在上面的工具里頭的文件夾選項(xiàng)里頭的查看里設(shè)置顯示所有文件和文件假，取消隱藏受保護(hù)操作系統(tǒng)文件，然后打開(kāi)開(kāi)始菜單的運(yùn)行，輸入命令 regedit，進(jìn)注冊(cè)表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

里面，有一個(gè)Torjan pragramme，這個(gè)明擺著“我是木馬”，刪?。?/p>

然后注銷(xiāo)！ 重新進(jìn)入系統(tǒng)后，打開(kāi)“任務(wù)管理器”，看看有沒(méi)rundll32，有的話先中止了，不知這個(gè)是真還是假，小心為好。 到D盤(pán)（注意不要雙擊進(jìn)入！否則又會(huì)激活這個(gè)病毒）右鍵，選【打開(kāi)】，把a(bǔ)utorun.inf和pagefile.com刪掉，

然后再到C盤(pán)把上面所列出來(lái)的文件都刪掉！中途注意不要雙擊到其中一個(gè)文件，否則所有步驟都要重新來(lái)過(guò)！ 然后再注銷(xiāo)。

我在奮戰(zhàn)過(guò)程中，把那些文件刪掉后，所有的exe文件全都打不開(kāi)了，運(yùn)行cmd也不行。

打開(kāi)我的電腦點(diǎn)工具==>文件夾選項(xiàng)==>文件類(lèi)型==>新建exe擴(kuò)展名，點(diǎn)高級(jí)選應(yīng)用程序。

即可運(yùn)行

但我在弄完這些之后，在開(kāi)機(jī)的進(jìn)入用戶時(shí)會(huì)有些慢，并會(huì)跳出一個(gè)警告框，說(shuō)文件"1"找不到。（應(yīng)該是Windows下的1.com文件。）,最后用System Repair Engineer看情況修理一下系統(tǒng)的啟動(dòng)項(xiàng)、系統(tǒng)關(guān)聯(lián)等。

最后說(shuō)一下怎么解決開(kāi)機(jī)提示找不到文件“1.com”的方法：

在運(yùn)行程序中運(yùn)行“regedit”，打開(kāi)注冊(cè)表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe" 當(dāng)然這也是啟動(dòng)項(xiàng)罷了。

殺毒軟件查殺winlogon.exe病毒方法：

請(qǐng)更新你的殺毒軟件病毒庫(kù)到最新版本進(jìn)行查殺