描述 作為一個系統核心進程,Winlogon.exe進程已被很多病毒盯上,國內外安全廠商已經截獲很多類似病毒,感染情況包括進程位置變化、資源占用變化、錯誤提示等。若發生此類情況很有可能已被感染病毒。
該病毒會創建 SMTP 引擎在受害者的計算機上,群發郵件進行傳播。手工清除該病毒時先利用進程管理類程式(如
冰刃 、No.1
進程管理器 等,系統的
任務管理器 會將病毒的winlogon誤認為是系統關鍵進程從而無法結束)結束病毒進程
winlogon.exe ,然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 檔案,再清除 AOL instant messenger 7.0 服務,位於註冊表 [
HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
後台程式: 是
進程名稱: Microsoft Windows Logon Process
使用網路: 否
出品者: Microsoft Corp.
硬體相關: 否
屬於: Microsoft Windows Operating System
常見錯誤: 強行結束後會重啟
系統進程: 是
記憶體使用: 未知N/A
病毒確定 正常的winlogon系統進程,其用戶名為“SYSTEM” 程式名為小寫
winlogon.exe 。而偽裝成該進程的
木馬程式 其用戶名為當前
系統用戶 名,且程式名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe,且其中一個為大寫,用戶名為當前系統用戶的話,表明可能存在木馬。這個木馬非常厲害,能破壞掉
木馬剋星 ,使其不能正常運行。使用其他防毒軟體查出難度大。
清除病毒 那個WINDOWS下的WINLOGON.EXE確實是病毒,打開D糟看看是否有一個pagefile的DOS指向檔案和一個
autorun.inf 檔案了,都是隱藏的,刪除沒用,因為關聯了很多東西,只要運行程式,或者雙擊打開D糟,就會重新自動安裝。
解決“落雪”病毒的方法
安全模式用Administrator解決無效,經過一個下午的奮戰才算勉強解決。手動一個一個的刪除。它所關聯的絕大多數都是顯示為系統檔案和隱藏的。所以要在
資料夾選項 里打開顯示隱藏檔案。
D糟里就兩個,搞得你無法雙擊打開D糟。C糟里的就多了!
D:\autorun.inf
D:\pagefile#com
C:\Program Files\Internet Explorer\iexplore#com
C:\Program Files\Common Files\iexplore#com
C:\WINDOWS\1#com
C:\WINDOWS\iexplore#com
C:\WINDOWS\finder#com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\*** Programme.exe
C:\Windows\system32\command#com
注意: 這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他檔案日期一樣,如果和其他檔案大部分 系統檔案 日期一樣就不能刪,當然系統檔案肯定不是這段時間的。 C:\Windows\system32\msconfig#com
C:\Windows\system32\regedit#com
C:\Windows\system32\dxdiag#com
C:\Windows\system32\rundll32#com
C:\Windows\system32\finder#com
C:\Windows\system32\a.exe
對了,看看這些檔案的日期,看看其他地方還有沒有相同時間的檔案還是.COM結尾的
可疑檔案 ,小心不要運行任何程式,要不就又啟動了,包括雙擊磁碟!
還有一個頭號檔案!WINLOGON.EXE!做了這么多工作目的就是要幹掉它!!!
C:\Windows\WINLOGON.EXE
這個在進程里可以看得到,有兩個,一個是真的,一個是假的。
而假的是大寫的WINLOGON.EXE,用戶名是你自己的用戶名。
這個檔案在進程里是中止不了的,說是關鍵進程無法中止,搞得跟真的一樣!就連在安全模式下它都會呆在你的進程里!看一下其中一個檔案的修改日期,然後用“搜尋”搜這天修改過的檔案,相同時間的肯定會出來一大堆的,連繫統還原夾里都有!! 這些檔案會自己關聯的,要是你刪了一部分,不小心運行了一個,或在開始-運行里運行msocnfig,command,regedit這些命令,所有的這些檔案全會自己補充回來!
知道了這些檔案,首先關閉可以關閉的所有程式,打開程式附屬檔案裡頭的WINDOWS
資源管理器 ,並在上面的工具裡頭的
資料夾選項 裡頭的查看里設定顯示所有檔案和資料夾,取消隱藏受保護作業系統檔案,然後打開
開始選單 的運行,輸入命令 regedit,進註冊表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裡面,有一個Torjan pragramme,這個明擺著“我是木馬”,刪!!
接著註銷系統!重新進入系統後,打開“
任務管理器 ”,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。到D糟
(注意不要雙擊進入!否則又會激活這個病毒) 右鍵,選“打開”,把
autorun.inf 和pagefile#com刪掉,再到C糟把上面所列出來的檔案都刪掉!中途注意不要雙擊到其中任意一個檔案,否則所有步驟都要重新來過! 然後再註銷系統。
恢復檔案
把那些檔案刪掉後,所有的exe檔案全都打不開了,運行cmd.exe也不行。
解決辦法是,到C:\Windows\system32 里,把
cmd.exe 檔案複製出來,比如到桌面,改名成cmd#com,然後雙擊這個COM檔案,可以進入到DOS下的
命令提示符 。
輸入如下命令:
winlogon.exe錯誤界面 assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe檔案就可以運行了。如果不會打命令,只要打開CMD#COM後複製上面的兩行分兩次貼上上去執行就可以了。
但在弄完這些之後,在開機的進入用戶時會有些慢,並會跳出一個警告框,說檔案"1"找不到,最後用上網助手之類的軟體全面修復IE設定。
解決開機跳出找不到檔案“1#com”
在運行程式中運行“regedit”,打開註冊表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"
若是還是無法執行.EXE檔案
下面講述如何恢復被篡改後的.EXE檔案修復工作。一定是某個軟體甚至可能是病毒把擴展名為EXE的檔案關聯刪除或修改了,因此按照前面對話框的提示從控制臺中執行“
資料夾選項 ”命令,選擇“檔案類型”標籤,在“已註冊的檔案類型”列表中找不到擴展名EXE和它的檔案關聯。試著按[新建]按鈕,在“
檔案擴展名 ”後輸入“.exe”,按[高級]按鈕,系統自動將其檔案類型定義為“應用程式”,按[確定]按鈕後在“已註冊的檔案類型”列表中出現了擴展名“EXE”,選擇它後按[更改]按鈕,系統要求選擇要使用的程式,可是到底要選擇什麼應用程式來打開EXE檔案?看來這個方法無效,只好按[取消]按鈕返回“
資料夾選項 ”對話框。
由於以前我從沒聽說要為擴展名為“.exe”的檔案建立檔案關聯,所以在“已註冊的檔案類型”列表中選擇“EXE應用程式”,並按[刪除]按鈕將它刪除。由於所有EXE檔案都不能執行,所以也無法用
註冊表編輯器 (因為我只能運行Regedit.exe或Regedit32.exe來打開註冊表編輯器)來修改註冊表,看來只好重新啟動計算機了。在出現“正在啟動Windows…”時按[F8]鍵,出現“Windows 2000高級選項選單”,選其中的“最後一次正確的配置”,進入Windows 2000時仍然報錯。只好再次重新啟動,這次選“安全模式”,雖然沒有報錯,但仍不能運行EXE檔案。再試試“帶命令行提示的安全模式”選項,啟動成功後在
命令提示符 視窗的命令行輸入:help| more(“|”是管道符號,在鍵盤上位於Backspace鍵左邊),在系統顯示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,大致意思是“ASSOC顯示或修改
檔案擴展名 關聯”,按
任意鍵 繼續查看,又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,大意是“FTYPE顯示或修改用在檔案擴展名關聯中的檔案類型”,原來在命令提示符視窗還隱藏著這兩個特殊命令,可以用來設定檔案擴展名關聯。於是,在命令行分別輸入“help assoc”和“help ftype”兩個命令獲取了它們的使用方法接著通過下面的設定,終於解決了EXE檔案不能運行的故障。故障解決先在命令行command輸入:assoc .exe來顯示EXE檔案關聯,系統顯示“沒有為擴展名.exe找到檔案關聯”,難怪EXE檔案都不能執行。接著輸入:ftype | more來分屏顯示系統中所有的檔案類型,其中有一行顯示為“exefile="%1" %*”,只要將EXE檔案與“exefile”關聯,故障就會解決。所以在命令行輸入:assoc .exe=exefile(assoc與.exe之間有一空格),螢幕顯示“.exe=exefile”。關閉
命令提示符 視窗,按[Ctrl+Alt+Del]組合鍵調出“Windows安全”視窗,按[關機]按鈕後選擇“重新啟動”選項,按正常模式啟動Windows 2000後,所有的EXE檔案都能正常運行了。
利用regedit#com的方法應該是最行之有效的辦法:
其他問題 winlogon.exe應用程式錯誤主要是輸入法軟體注入winlogon所導致的藍屏。國內windows XP仍有很多,用戶可將騰訊電腦管家升級至8.2.9749.224版本,並打開騰訊電腦管家電腦診所,搜尋“winlogon.exe”,找到相關問題,點擊一鍵修復即可完成。
軟體誤殺 2010年8月24日,安裝了
小紅傘 防毒軟體當天升級包的網友紛紛表示,小紅傘將其識別為特洛伊木馬,命名為TR/Patched#AG Trojan,如果用戶選擇刪除的話,系統重啟後可能會無法正常開機。經眾多網友分析,此乃小紅傘誤報,並非本詞條中所提及的
落雪病毒 ,請大家放心,下面提供臨時解決方法,等待官方發布補丁包!
臨時解決方法:打開小紅傘 配置(configuration)-勾選專家模式(expert mode),然後在掃描(scan)裡面找到設定選項,裡面有exception(例外),將
winlogon.exe 設為排除。待小紅傘官方修復後再修改回來。