winlogon.exe正常進程信息：

進程文件： winlogon or winlogon.exe

進程名稱： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陸管理器。它用于處理你系統(tǒng)的登陸和登陸過程。該進程在你系統(tǒng)的作用是非常重要的。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統(tǒng)進程： 是

后臺程序： 是

使用網(wǎng)絡： 否

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

安全等級 (0-5): 0

間諜軟件： 否

Adware: 否

病毒： 否

木馬： 否

感染后的winlogon.exe病毒進程：

winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒。該病毒通過Email郵件傳播，當你打開病毒發(fā)送的附件時，即會被感染。該病毒會創(chuàng)建SMTP引擎在受害者的計算機上，群發(fā)郵件進行傳播。該病毒允許攻擊者訪問你的計算機，竊取密碼和個人數(shù)據(jù)。該進程的安全等級是建議刪除。

如果你發(fā)現(xiàn)你的系統(tǒng)程序里面有一個大寫的WINLOGON.EXE，一個小寫winlogon.exe，那么恭喜你，你中了“落雪”病毒.大寫的 WINLOGON.EXE就是病毒文件,“落雪”木馬也叫“游戲大盜”(Trojan/PSW.GamePass），由VB程序語言編寫，通過 nSPack3.1加殼處理（即通常所說的“北斗殼”NorthStar），該木馬文件圖標一般是紅色的圖案，偽裝成網(wǎng)絡游戲的登陸器。

winlogon.exe病毒感染情況分析：

落雪病毒運行后，在C盤programfile以及windows目錄下生成

C:windowswinlogon.exe

C:WINDOWS.com

C:WINDOWSExERoute.exe

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSsystem32command.pif

C:Windowssystem32command.com

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32finder.com

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32regedit.com

C:WINDOWSsystem32rundll32.com

C:WindowsWINLOGON.EXE

C:WINDOWSservices.exe

C:WINDOWSDebugDebugProgramme.exe

等多個病毒文件，病毒文件之多比較少見，，事實上這14個不同文件名的病毒文件系同一種文件，“落雪”之名亦可能由此而來。病毒文件名被模擬成正常的系統(tǒng)工具名稱，但是文件擴展名變成了.com。這是病毒利用了Windows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級比EXE文件高的特性，這樣，當用戶調用系統(tǒng)配置文件Msconfig.exe的時候，一般習慣上輸入Msconfig，而這是執(zhí)行的并不是微軟的Msconfig.exe程序，而是病毒文件 Msconfig.com，落雪病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有，病毒還創(chuàng)建一名為winlogon.exe的進程，并把 winlogon.exe的路徑指向c:windowsWINLOGON.EXE，而正常的系統(tǒng)進程路徑是 C:WINDOWSsystem32winlogon.exe，以此達到迷惑用戶的目的。

除了在C盤下生成很多病毒文件外，病毒還修改注冊表文件關聯(lián)，每當用戶點擊html文件時，都會運行病毒。此外，病毒還在其他盤下生成一個 autorun.inf和一個pagefile.com的文件自動運行批處理文件，這樣即使C盤目錄下的病毒文件被清除，當用戶打開D盤時，病毒仍然被激活運行。這也是許多用戶反映病毒屢殺不絕的原因。

winlogon.exe病毒手動查殺方案：

WINLOGON.EXE病毒，近來在網(wǎng)絡很流行，許多朋友都中了，許多殺毒軟件能查到，但是無論如何都無法清除。

不知道什么原因，這個病毒的中文譯名叫做“落雪”，又叫“飄雪”，很美吧？

我檢查了一下，發(fā)現(xiàn)進程里多出一個大寫的WINLOGON，是在winnt或windows目錄下的，而正常情況下，這個進程應該是在winnt或 windows/system32目錄下的，此進程不言而知。注冊表下的啟動項，里面有個Torjan pragramme的啟動項目，不能徹底刪除。

以下是刪除的方法：

這個進程WINLOGON.EXE的用戶名是用戶自己，因此不可能是正常的系統(tǒng)進程，正常的winlogon系統(tǒng)進程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統(tǒng)用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現(xiàn)了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統(tǒng)用戶的話，表明可能存在木馬。

這個木馬非常厲害，能破壞掉木馬克星等許多著名的殺毒軟件，使其不能正常運行，就算能正常運行，也會錯誤殺毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯，人工也可以看出，那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這個病毒中的小角色而已，大家用鼠標右鍵【打開】，打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，這些當然都是隱藏的，刪這幾個沒用的，因為她關聯(lián)了很多東西，甚至在安全模式都不能刪死，只要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了。而且這段時間很多人的帳號被盜就是因為這個解除的傳家寶了。

我分析了一下這個木馬的資料，連接是通向河南和天津的某一地區(qū)，看來是國內的。而且她很有趣，如果你機子上有傳奇等游戲，必然惹來她的親吻，那么說QQ之類的帳號密碼會不會被泄漏，這個不清楚，但起碼我有些朋友已經(jīng)被盜了。

解決“落雪”病毒的方法

癥狀：D盤雙擊打不開，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系統(tǒng)的運作，因此此兩個文件難以刪除，在安全模式用Administrator一樣解決不了！經(jīng)過一個下午的奮戰(zhàn)才算勉強解決。 我沒用什么查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。它所關聯(lián)的文件如下，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。 所以要在文件夾選項里打開顯示隱藏文件。

D盤里就兩個，搞得你無法雙擊打開D盤。C盤很多相關文件程序

D:autorun.inf

D:pagefile.com

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe（傳奇的圖標，很漂亮）

C:WINDOWSDebug*** Programme.exe（也是上面那個圖標，名字每臺機子都不同，但是明顯是非隱藏的）

C:Windowssystem32command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪，當然系統(tǒng)文件肯定不是這段時間的。

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

值得注意的是：看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁盤，還有一個頭號文件！WINLOGON.EXE！做了這么多工作目的就是要離開她的親吻！

C:WindowsWINLOGON.EXE

這個在進程里明顯可以看得到，有兩個，一個是真的，一個是假的。

真的是小寫winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，

而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。

這個文件在進程里是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會

呆在你的進程里！ 我現(xiàn)在所知道的就這些，要是不放心，就最好看一下其中一個文件的修改日期，然后用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的， 連系統(tǒng)還原夾里都有??！ 這些文件會自己關聯(lián)的，要是你刪了一部分，不小心運行了一個，或在開始－運行里運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來！

知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件里頭的WINDOWS資源管理器，并在上面的工具里頭的文件夾選項里頭的查看里設置顯示所有文件和文件假，取消隱藏受保護操作系統(tǒng)文件，然后打開開始菜單的運行，輸入命令 regedit，進注冊表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

里面，有一個Torjan pragramme，這個明擺著“我是木馬”，刪??！

然后注銷！ 重新進入系統(tǒng)后，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。 到D盤（注意不要雙擊進入！否則又會激活這個病毒）右鍵，選【打開】，把autorun.inf和pagefile.com刪掉，

然后再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中一個文件，否則所有步驟都要重新來過！ 然后再注銷。

我在奮戰(zhàn)過程中，把那些文件刪掉后，所有的exe文件全都打不開了，運行cmd也不行。

打開我的電腦點工具==>文件夾選項==>文件類型==>新建exe擴展名，點高級選應用程序。

即可運行

但我在弄完這些之后，在開機的進入用戶時會有些慢，并會跳出一個警告框，說文件"1"找不到。（應該是Windows下的1.com文件。）,最后用System Repair Engineer看情況修理一下系統(tǒng)的啟動項、系統(tǒng)關聯(lián)等。

最后說一下怎么解決開機提示找不到文件“1.com”的方法：

在運行程序中運行“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe" 當然這也是啟動項罷了。

殺毒軟件查殺winlogon.exe病毒方法：

請更新你的殺毒軟件病毒庫到最新版本進行查殺