扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:网络转载 来源:网络转载 2009年5月23日
提起Winlogon,许多WinXP用户可能都不知道,但是大家却经常用到它!当你按下Ctrl Alt Del时,Winlogon就激活了,此时你会看到一个Windows安全窗口,窗口中显示当前登陆帐号和登陆时间,还有“锁定计算机”、“注销”、“关机”、“更改密码”、“任务管理器”等按钮。
一、Winlogon是什么?
Winlogon.exe是Windows XP登录管理器,位于C:\Windows\System32目录下,主要用于管理XP用户的登录和退出,处理用户登录和注销任务。
当你按Ctrl Alt Del然后选择“任务管理器”,在进程列表中即可看到Winlogon.exe(图1)进程,其占用空间大小是动态变化的──与用户登录的时间有关。如果你登录XP系统一个小时左右,该进程将会占用1.2MB~8.5MB内存空间。
图 1
二、检查你的Winlogon.exe是否正常?
由于Winlogon.exe是系统启动必需的进程、非常重要,所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的,当你感染它之后,它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统,PcShare就会随Winlogon.exe一起运行,而且还能躲过大部分网络防火墙的拦截。
正因为Winlogon.exe特别容易染上病毒和木马,所以关注Winlogon.exe是否染毒就很有必要了,那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察:
1、检查Winlogon.exe的名称与路径
与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样,Winlogon.exe的名称也是不区分大小写的,假如你在任务管理器中发现,Winlogon.exe有时是大写、有时又是小写,这也是正常的!不过你可要仔细检查,其名称中那个“O”到底是字母O、还是数字0?如果是数字0,Winlog0n.exe肯定就是病毒啦!
其次还要检查Winlogon.exe所在的路径,正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的,或者其所在路径是%Windows%,那么这个Winlogon.exe肯定也染上病毒了!
2、Winlogon.exe不会自动要求连接网络
Winlogon.exe是一个本地进程,所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4(下载地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml),发现在进程列表中(图2)有Winlogon.exe进程打开某端口监听、要求连接网络,那么这个Winlogon.exe肯定是被木马程序劫持了,应该尽快清除之。
图 2
另外建议你运行一下软件Auto runs(下载地址http://www.mydown.com/soft/18/18943.html),然后选择Winlogon.exe,检查它启动了哪些文件。正常情况下,Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件,具体名称如下(如图3),如果不是这些文件,就非常可疑了!
图 3
三、与Winlogon相关的“落雪”病毒
前段时间,网上曾爆发过WINLOGON病毒,给大家造成了很大的麻烦和损失。WINLOGON病毒中文名叫“落雪”,是一种专门盗取“传奇世界”、“魔兽世界”、“QQ”及网银等帐号密码的病毒。它不仅盗窃密码,而且还能免杀、自动关闭杀毒软件及木马克星,中了该病毒后你会发现:
双击“我的电脑”/盘符无法打开、或出现自动播放,大量的文件关联被修改;打开任务管理器,出现2个WINLOGON.exe进程,其中winlogon.exe是原进程,而WINLOGON.exe(路径为c:\windows\winlogon.exe)则是木马的主程序(为盗号马),你无法结束该进程。另外,在D盘下还会多出2个文件autorun.inf和pagefile.com;C盘中将生成如下15个病毒文件:
C:\Windows\WINLOGON.EXE
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\Debug Programme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
为了清除落雪病毒,建议你将杀毒软件病毒库升级到最新,然后再用杀毒软件去剿杀;或者手工清除,方法如下:
1、终止WINLOGON.EXE
利用进程杀手prockiller2.7,或者Procexp先结束这个进程(注意不要结束小写的winlogon.exe);然后进入注册表,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan ragramme
2、删除染毒文件
删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再打开注册表,清除 AOL instant messenger 7.0 服务,即位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
接下来右击D盘(不要双击,免得激活病毒),选“打开”,删除autorun.inf和pagefile.com;进入C盘,删除上面所列的15个文件!
3、恢复文件关联
用SRE恢复文件关联。先将SREng.EXE的后缀改为.com,以便能够运行SRE;在SRE主窗口选择“启动项目”,在“注册表”标签中去掉木马启动项;然后点击“系统修复”,进入“文件关联”标签,勾选“全选”(图4),点“修复”,即可恢复所有的文件关联。
图 4
如果你想手工修复文件关联,可以这样操作:到C:\Windows\system32中,把cmd.exe文件复制到桌面,然后改名成cmd.com,以便能运行之;启动cmd.com进入DOS状态,输入以下命令来恢复exe的文件关联:
assoc .exe=exefile回车
ftype exefile="%1" %*回车
重启电脑后,exe文件即可运行了;不过再次进入系统后,会弹出“文件1找不到”的提示,因为1.com病毒文件早已被删除了,为此你可以点击“开始”/运行,输入regedit打开注册表,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 便大功告成!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者