Winlogon.exe是病毒进程吗,如何查杀?

来自Wenbanzhu
跳转至: 导航搜索

待解问题.png 问题

Winlogon.exe是病毒进程吗,如何查杀?.jpg
--Eva 2010年3月3日 (三) 17:11 (CST)

问题具体描述:winlogon.exe是什么进程?有什么用么?是病毒的话,如何删除?


最新回答.png 回答

Winlogon.exe进程介绍

正常情况下:winlogon.exe是一个实现Window登陆管理,处理用户登陆和登出Windows的进程。每次当你被系统提示输入用户名和密码的时候,你就能看到这个进程。它还负责在用户登陆后载入用户的信息,支持自动登陆(相关的),以及监视键盘和鼠标的操作,来决定何时显示出屏保。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行。

非正常情况:若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒。该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。

Winlogon.exe病毒的威害

如果你发现你的系统程序里面有一个大写的WINLOGON.EXE,一个小写winlogon.exe,那么恭喜你,你中了落雪病毒。大写的WINLOGON.EXE就是病毒文件,落雪木马也叫游戏大盗,由VB程序语言编写,通过nSPack3.1加壳处理(即通常所说的北斗壳NorthStar),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。落雪病毒运行后,在C盘programfile以及windows目录下生成:

C:\windows\winlogon.exe;

C:\WINDOWS.com;

C:\WINDOWS\ExERoute.exe;

C:\WINDOWS\iexplore.com;

C:\WINDOWS\finder.com;

C:\WINDOWS\system32\command.pif;

C:\Windows\system32\command.com;

C:\WINDOWS\system32\dxdiag.com;

C:\WINDOWS\system32\finder.com;

C:\WINDOWS\system32\MSCONFIG.COM;

C:\WINDOWS\system32\regedit.com;

C:\WINDOWS\system32\rundll32.com;

C:\Windows\WINLOGON.EXE;

C:\WINDOWS\services.exe;

C:\WINDOWS\Debug\DebugProgramme.exe等多个病毒文件,病毒文件之多比较少见,事实上这14个不同文件名的病毒文件系同一种文件,落雪之名亦可能由此而来。

病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了.com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入Msconfig,而这是执行的并不是微软的Msconfig.exe程序,而是病毒文件Msconfig.com,落雪病毒作者的良苦用心由此可见。

病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把winlogon.exe的路径指向c:\windows\WINLOGON.EXE,而正常的系统进程路径是C:\WINDOWS\system32\winlogon.exe,以此达到迷惑用户的目的。

除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。

此外,病毒还在其他盘下生成一个autorun.inf和一个pagefile.com的文件自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

清除Winlogon.exe病毒的方法

手工清除该病毒:

  1. 先结束病毒进程 winlogon.exe
  2. 然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件
  3. 再清除 AOL instant messenger 7.0 服务,位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。

软件查杀:

  • 建议使用 Security Task Manager 来检查电脑的安全状况,以便进一步查看 winlogon.exe 进程是否真的有害。
  • 如果手动没有完全删除掉,可下载江民落雪病毒专杀工具:WINLOGON.EXE江民落雪病毒专杀工具

提示

  • WINLOGON.EXE进程正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。

相关问答

明星版主.png 版主: 本页回答由版主“Eva”负责,您可以查看Eva介绍和编辑或者给Eva留言


分类浏览.png 分类Winlogon.exe|病毒|进程|如何|木马|杀毒

讨论.png 讨论

关于“Winlogon.exe是病毒进程吗,如何查杀?”的留言:

新增留言

--摟西 2011年9月24日 (六) 07:27 (CST)

留言: 感覺從電腦被監視

著一切

新增相关留言