一、winlogon.exe病*介绍以及清楚查*方法

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。

属于： Microsoft Windows Operating System

感染后的winlogon.exe病*进程：

winlogon.exe也可能是W32.Netsky.D@mm蠕虫病*。该病*通过Email邮件传播，当你打开病*发送的附件时，即会被感染。该病*会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病*允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

如果你发现你的系统程序里面有一个大写的WINLOGON.EXE，一个小写winlogon.exe，那么恭喜你，你中了“落雪”病*.大写的 WINLOGON.EXE就是病*文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass），由VB程序语言编写，通过 nSPack3.1加壳处理（即通常所说的“北斗壳”NorthStar），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。

winlogon.exe病*感染情况分析：

落雪病*运行后，在C盘programfile以及windows目录下生成

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32rundll32

C:WINDOWSDebugDebugProgramme.exe

等多个病*文件，病*文件之多比较少见，，事实上这14个不同文件名的病*文件系同一种文件，“落雪”之名亦可能由此而来。病*文件名被模拟成正常的系统工具名称，但是文件扩展名变成了。这是病*利用了Windows*作系统执行文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病*文件 Msconfig，落雪病*作者的“良苦用心”由此可见。病*另一狡诈之处还有，病*还创建一名为winlogon.exe的进程，并把 winlogon.exe的路径指向c:windowsWINLOGON.EXE，而正常的系统进程路径是 C:WINDOWSsystem32winlogon.exe，以此达到迷惑用户的目的。

除了在C盘下生成很多病*文件外，病*还修改注册表文件关联，每当用户点击html文件时，都会运行病*。此外，病*还在其他盘下生成一个 autorun.inf和一个pagefile的文件自动运行批处理文件，这样即使C盘目录下的病*文件被清除，当用户打开D盘时，病*仍然被激活运行。这也是许多用户反映病*屡*不绝的原因。

winlogon.exe病*手动查*方案：

WINLOGON.EXE病*，近来在网络很流行，许多朋友都中了，许多**软件能查到，但是无论如何都无法清除。

不知道什么原因，这个病*的中文译名叫做“落雪”，又叫“飘雪”，很美吧？

我检查了一下，发现进程里多出一个大写的WINLOGON，是在winnt或windows目录下的，而正常情况下，这个进程应该是在winnt或 windows/system32目录下的，此进程不言而知。注册表下的启动项，里面有个Torjan pragramme的启动项目，不能彻底删除。

这个进程WINLOGON.EXE的用户名是用户自己，因此不可能是正常的系统进程，正常的winlogon系统进程，其用户名为“SYSTEM”程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星等许多著名的**软件，使其不能正常运行，就算能正常运行，也会错误**或查*。目前使用其他**软件未能*死。但是很明显，人工也可以看出，那个WINDOWS下的WINLOGON.EXE确实是病*，但是，她不过是这个病*中的小角色而已，大家用鼠标右键【打开】，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，这些当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都不能删死，只要运行任何程序，或者双击打开D盘，她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个解除的传家宝了。

我分析了一下这个木马的资料，连接是通向河南和天津的某一地区，看来是国内的。而且她很有趣，如果你机子上有传奇等游戏，必然惹来她的亲吻，那么说QQ之类的帐号密码会不会被泄漏，这个不清楚，但起码我有些朋友已经被盗了。

症状：D盘双击打不开，而且里面有autorun.inf和pagefile文件

此病*的制作者很了解系统的运作，因此此两个文件难以删除，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。我没用什么查*木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘很多相关文件程序

C:Program FilesInternet Exploreriexplore

C:Program FilesCommon Filesiexplore

C:WINDOWSExeroud.exe（传奇的图标，很漂亮）

C:WINDOWSDebug*** Programme.exe（也是上面那个图标，名字每台机子都不同，但是明显是非隐藏的）

C:Windowssystem32command这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:Windowssystem32msconfig

C:Windowssystem32rundll32

值得注意的是：看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘，还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要离开她的亲吻！

这个在进程里明显可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会

呆在你的进程里！我现在所知道的就这些，要是不放心，就好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！！这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护*作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到D盘（注意不要双击进入！否则又会激活这个病*）右键，选【打开】，把autorun.inf和pagefile删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！然后再注销。

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

打开我的电脑点工具==>文件夹选项==>文件类型==>新建exe扩展名，点高级选应用程序。

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1文件。）,后用System Repair Engineer看情况修理一下系统的启动项、系统关联等。

后说一下怎么解决开机提示找不到文件“1”的方法：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"当然这也是启动项罢了。

**软件查*winlogon.exe病*方法：

请更新你的**软件病*库到新版本进行查*

二、winlogon.exe系统错误怎么办

近有用户反映，电脑出现了winlogon.exe应用程序错误的问题，这是怎么一回事呢？该如何去解决它呢？下面一起通过文章来看看吧。

按Win+R打开运行，输入cmd进入命令提示符。

然后执行命令“for%1 in(%windir%\system32\*.dll) do regsvr32.exe/s%1”等待完成重启电脑即可。

查看自己系统是否安装了搜狗输入法，将其卸载。可能因为你系统安装了多个输入法冲突导致。

【控制面板】点击【添加或删除程序】将【搜狗输入法】卸载，若还继续使用，可以**新版本重新安装。

卸载完之后重启，系统不再提示错误框，问题解决。

针对几次处理该错误框，都是因为该输入法冲突导致，可以不用重装系统，卸载该输入法即可。

首先，关闭与此有关的Windows Management Instrumentation服务。开始→运行→输入：services.msc点击确定（或按回车键）打开服务。

找到Windows Management Instrumentation服务之后，右键点击停止。

然后，点开以下路径：C:\Windows\system32\wbem\repository备份一下这个文件夹内的所有文件，以防不测，再将其删除，重启电脑，查看效果。

如果是*机，可以打上KB958644安全更新补丁即可。

三、Winlogon***exe是什么进程

Winlogon.exe是windows登录管理器，位于C:\Windows\System32目录下，主要用于管理XP用户的登录和退出，处理用户登录和注销任务。

当你按Ctrl+Alt+Del然后选择“任务管理器”，在进程列表中即可看到Winlogon.exe进程，其占用空间大小是动态变化的──与用户登录的时间有关。如果你登录系统一个小时左右，该进程将会占用1.2MB～8.5MB内存空间。

由于Winlogon.exe是系统启动必需的进程、非常重要，所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的，当你感染它之后，它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分网络防火墙的拦截。

与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE等)一样，Winlogon.exe的名称也是不区分大小写的，假如你在任务管理器中发现，Winlogon.exe有时是大写、有时又是小写，这也是正常的!不过你可要仔细检查，其名称中那个“O”到底是字母O、还是数字0?如果是数字0，Winlog0n.exe肯定就是病*啦!

其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM用户运行的。如果你在任务管理器中发现它是以非SYSTEM用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病*了