winlogon.exe

winlogon.exe百科名片
Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 https://www.doczj.com/doc/4410516117.html,sky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。


进程文件： winlogon or winlogon.exe
进程名称： Microsoft Windows Logon Process
描述： 该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe，然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
出品者： Microsoft Corp. 属于： Microsoft Windows Operating System
系统进程： 是 后台程序： 是
使用网络： 否 硬件相关： 否 常见错误： 目前未知
内存使用： 目前未知 安全等级 (0-5): 0 间谍软件： 否
Adware: 否 病毒： 否
木马： 否
winlogon.exe病毒的查杀方法
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇世界的木马，至于会不会盗其他帐号如QQ，网银就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒包括方

新等修改过的51pywg传家宝，和他们破解的其他一切外挂，这次嫌疑最大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么放，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。解决“落雪”病毒的方法
症状：D盘双击打不开，里面有autorun.inf和https://www.doczj.com/doc/4410516117.html,文件
做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个，搞得你无法双击打开D盘。C盘里盘里的就多了！
D:\autorun.inf D:\https://www.doczj.com/doc/4410516117.html,
C:\Program Files\Internet Explorer\https://www.doczj.com/doc/4410516117.html,
C:\Program Files\Common Files\https://www.doczj.com/doc/4410516117.html,
C:\https://www.doczj.com/doc/4410516117.html,
C:\WINDOWS\https://www.doczj.com/doc/4410516117.html, C:\WINDOWS\https://www.doczj.com/doc/4410516117.html,
C:\WINDOWS\Exeroute.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的) C:\Windows\system32\https://www.doczj.com/doc/4410516117.html, 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\https://www.doczj.com/doc/4410516117.html,
C:\Windows\system32\https://www.doczj.com/doc/4410516117.html,
C:\Windows\system32\https://www.doczj.com/doc/4410516117.html,
C:\Windows\system32\https://www.doczj.com/doc/4410516117.html,
C:\Windows\system32\https://www.doczj.com/doc/4410516117.html,
C:\Windows\system32\a.exe 对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘
还有一

个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到，有两个，一个是真的，一个是假的。
真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，
而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。 这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！
知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！
然后注销！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和https://www.doczj.com/doc/4410516117.html,删掉，
然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。
我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。 然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成https://www.doczj.com/doc/4410516117.html, 嘿嘿我也会用com文件，然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令，只要打开https://www.doczj.com/doc/4410516117.html,后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的https://www.doczj.com/doc/4410516117.html,文件。）,最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件

“https://www.doczj.com/doc/4410516117.html,”的方法：
在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
若是还是无法执行.EXE文件，下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了，因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令，选择“文件类型”标签，在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮，在“文件扩展名”后输入“.exe”，按[高级]按钮，系统自动将其文件类型定义为“应用程序”，按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”，选择它后按[更改]按钮，系统要求选择要使用的程序，可是到底要选择什么应用程序来打开EXE文件？看来这个方法无效，只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联，所以在“已注册的文件类型”列表中选择“EXE应用程序”，并按[删除]按钮将它删除。由于所有EXE文件都不能执行，所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表，看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键，出现“Windows 2000高级选项菜单”，选其中的“最后一次正确的配置”，进入Windows 2000时仍然报错。只好再次重新启动，这次选“安全模式”，虽然没有报错，但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项，启动成功后在命令提示符窗口的命令行输入：help| more(“|”是管道符号，在键盘上位于Backspace键左边)，在系统显示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC显示或修改文件扩展名关联”，按任意键继续查看，又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”，大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”，原来在命令提示符窗口还隐藏着这两个特殊命令，可以用来设置文件扩展名关联。于是，在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用方法接着通过下面的设置，终于解决了EXE文件不能运行的故障。故障解决先在命令行command输入：assoc .exe来显示EXE文件关联，系统显示“没有为扩展名.exe找到文件关联”，难怪EXE文件都不能执行。接着输入：ftype | more来分屏显示系统中所有的文件类型，其中有

一行显示为“exefile="%1" %*”，难道只要将EXE文件与“exefile”关联，故障就会解决？于是在命令行输入：assoc .exe=exefile(assoc与.exe之间有一空格)，屏幕显示“.exe=exefile”。现在关闭命令提示符窗口，按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口，按[关机]按钮后选择“重新启动”选项，按正常模式启动Windows 2000后，所有的EXE文件都能正常运行了。另外，的利用https://www.doczj.com/doc/4410516117.html,的方法应该是最行之有效的办法。1、修改regedit.exe 为 https://www.doczj.com/doc/4410516117.html,2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %

清除winlogon.exe病毒 与恢复EXE文件的全过程

我们黑基的帅哥kine,机器不知怎么中了winlogon.exe病毒，搞的就要重装系统的下场了。那么让我们来看看这个winlogon.exe病毒到底是什么东西的呢这么的历害的呢，winlogon.exe病毒这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。
注释: winlogon.exe 是存放在目录 C:\Windows\System32。已知的 Windows XP 文件大小为 502,272 字节 (占总出现比率 79% )，507,904 字节，308,224 字节，516,608 字节，430,080 字节，314,880 字节，502,784 字节，508,928 字节，541,696 字节，557,056 字节，504,320 字节，504,832 字节，487,424 字节，483,328 字节，528,384 字节，487,936 字节，506,368 字节，520,704 字节，430,592 字节，518,144 字节，537,600 字节，313,856 字节，505,344 字节，425,472 字节，429,056 字节，507,392 字节。
进程是不可见的。 这个文件是由 Microsoft 所签发。 winlogon.exe 是有能力可以 纪录输入，监控应用程序，操纵其他程序。 总结在技术上威胁危险度是 12% , 但是也可以参考 用户意见。 如果 winlogon.exe 位于在目录 C:\Windows下，那么威胁危险度是 75% 。文件大小是 159,744 字节 (占总出现比率 28% )，111,616 字节，163,840 字节，109,056 字节，98,304 字节，69,632 字节，24,635 字节，111,104 字节，570,368 字节，109,568 字节，40,960 字节，155,648 字节，82,030 字节，570,880 字节，18,161 字节，147,968 字节，646,656 字节，91,136 字节，121,344 字节，23,632 字节，94,208 字节，98,429 字节，274,440 字节，16,535 字节，73,730 字节，114,176 字节，82,024 字节，143,360 字节，65,536 字节

，61,440 字节。这个不是 Windows 核心文件。 没有文件的资料。 文件存放于 Windows 目录但并非系统核心文件。 程序是不可见的。 这个进程在 Windows 载入程序中开启 (参看注册表项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell，C:\Windows\win.ini，HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run，-，，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)。 winlogon.exe 是有能力可以 纪录输入，接到互联网，监控应用程序。

如何检查你的Winlogon.exe是否正常

由于Winlogon.exe是系统启动必需的进程、非常重要，所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的，当你感染它之后，它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分网络防火墙的拦截。
正因为Winlogon.exe特别容易染上病毒和木马，所以关注Winlogon.exe是否染毒就很有必要了，那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察：
1、检查Winlogon.exe的名称与路径
与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样，Winlogon.exe的名称也是不区分大小写的，假如你在任务管理器中发现，Winlogon.exe有时是大写、有时又是小写，这也是正常的!不过你可要仔细检查，其名称中那个“O”到底是字母O、还是数字0?如果是数字0，Winlog0n.exe肯定就是病毒啦!
其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病毒了!
2、Winlogon.exe不会自动要求连接网络 Winlogon.exe是一个本地进程，所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4，[1][2][3]发现在进程列表中有Winlogon.exe进程打开某端口监听、要求连接网络，那么这个Winlogon.exe肯定是被木马程序劫持了，应该尽快清除之。 另外建议你运行一下软件Auto runs，然后选择Winlogon.exe，检查它启动了哪些文件。正常情况下，Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件，具体名称如下，如果不是这些文件，就非常可疑了!