Winlogon.exe是病毒進程嗎,如何查殺?

出自 Wenbanzhu
前往: 導覽搜尋

待解問題.png 問題

Winlogon.exe是病毒進程嗎,如何查殺?.jpg
--Eva 2010年3月3日 (三) 17:11 (CST)

問題具體描述:winlogon.exe是什麼進程?有什麼用麼?是病毒的話,如何刪除?


最新回答.png 回答

Winlogon.exe進程介紹

正常情況下:winlogon.exe是一個實現Window登陸管理,處理用戶登陸和登出Windows的進程。每次當你被系統提示輸入用戶名和密碼的時候,你就能看到這個進程。它還負責在用戶登陸後載入用戶的信息,支持自動登陸(相關的),以及監視鍵盤和滑鼠的操作,來決定何時顯示出屏保。該進程的正常路徑應是 C:\Windows\System32 且是以 SYSTEM 用戶運行。

非正常情況:若不是以上路徑且不以 SYSTEM 用戶運行,則可能是 W32.Netsky.D@mm 蠕蟲病毒。該病毒通過 EMail 郵件傳播,當你打開病毒發送的附件時,即會被感染。該病毒會創建 SMTP 引擎在受害者的計算機上,群發郵件進行傳播。

Winlogon.exe病毒的威害

如果你發現你的系統程序裡面有一個大寫的WINLOGON.EXE,一個小寫winlogon.exe,那麼恭喜你,你中了落雪病毒。大寫的WINLOGON.EXE就是病毒文件,落雪木馬也叫遊戲大盜,由VB程序語言編寫,通過nSPack3.1加殼處理(即通常所說的北斗殼NorthStar),該木馬文件圖標一般是紅色的圖案,偽裝成網路遊戲的登陸器。落雪病毒運行後,在C盤programfile以及windows目錄下生成:

C:\windows\winlogon.exe;

C:\WINDOWS.com;

C:\WINDOWS\ExERoute.exe;

C:\WINDOWS\iexplore.com;

C:\WINDOWS\finder.com;

C:\WINDOWS\system32\command.pif;

C:\Windows\system32\command.com;

C:\WINDOWS\system32\dxdiag.com;

C:\WINDOWS\system32\finder.com;

C:\WINDOWS\system32\MSCONFIG.COM;

C:\WINDOWS\system32\regedit.com;

C:\WINDOWS\system32\rundll32.com;

C:\Windows\WINLOGON.EXE;

C:\WINDOWS\services.exe;

C:\WINDOWS\Debug\DebugProgramme.exe等多個病毒文件,病毒文件之多比較少見,事實上這14個不同文件名的病毒文件系同一種文件,落雪之名亦可能由此而來。

病毒文件名被模擬成正常的系統工具名稱,但是文件擴展名變成了.com。這是病毒利用了Windows作業系統執行.com文件的優先級比EXE文件高的特性,這樣,當用戶調用系統配置文件Msconfig.exe的時候,一般習慣上輸入Msconfig,而這是執行的並不是微軟的Msconfig.exe程序,而是病毒文件Msconfig.com,落雪病毒作者的良苦用心由此可見。

病毒另一狡詐之處還有,病毒還創建一名為winlogon.exe的進程,並把winlogon.exe的路徑指向c:\windows\WINLOGON.EXE,而正常的系統進程路徑是C:\WINDOWS\system32\winlogon.exe,以此達到迷惑用戶的目的。

除了在C盤下生成很多病毒文件外,病毒還修改註冊表文件關聯,每當用戶點擊html文件時,都會運行病毒。

此外,病毒還在其他盤下生成一個autorun.inf和一個pagefile.com的文件自動運行批處理文件,這樣即使C盤目錄下的病毒文件被清除,當用戶打開D盤時,病毒仍然被激活運行。這也是許多用戶反映病毒屢殺不絕的原因。

清除Winlogon.exe病毒的方法

手工清除該病毒:

  1. 先結束病毒進程 winlogon.exe
  2. 然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件
  3. 再清除 AOL instant messenger 7.0 服務,位於註冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。

軟體查殺:

  • 建議使用 Security Task Manager 來檢查電腦的安全狀況,以便進一步查看 winlogon.exe 進程是否真的有害。
  • 如果手動沒有完全刪除掉,可下載江民落雪病毒專殺工具:WINLOGON.EXE江民落雪病毒專殺工具

提示

  • WINLOGON.EXE進程正常的winlogon系統進程,其用戶名為「SYSTEM」 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統用戶名,且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為「SYSTEM」。如果出現了兩個winlogon.exe,且其中一個為大寫,用戶名為當前系統用戶的話,表明可能存在木馬。

相關問答

明星版主.png 版主: 本頁回答由版主「Eva」負責,您可以查看Eva介紹和編輯或者給Eva留言


分類瀏覽.png 分類Winlogon.exe|病毒|進程|如何|木馬|殺毒

討論.png 討論

關於「Winlogon.exe是病毒進程嗎,如何查殺?」的留言:

新增留言

--摟西 2011年9月24日 (六) 07:27 (CST)

留言: 感覺從電腦被監視

著一切

新增相关留言