描述
作為一個系統核心進程,Winlogon.exe進程已被很多病毒盯上,國內外安全廠商已經截獲很多類似病毒,感染情況包括進程位置變化、資源占用變化、錯誤提示等 。若發生此類情況很有可能已被感染病毒。
該病毒會創建 SMTP 引擎在受害者的計算機上,群發郵件進行傳播。手工清除該病毒時先利用進程管理類程式(如冰刃、No.1進程管理器等,系統的任務管理器會將病毒的winlogon誤認為是系統關鍵進程從而無法結束)結束病毒進程 winlogon.exe,然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 檔案,再清除 AOL instant messenger 7.0 服務,位於註冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
進程檔案: winlogon or winlogon.exe | 後台程式: 是 |
進程名稱: Microsoft Windows Logon Process | 使用網路: 否 |
出品者: Microsoft Corp. | 硬體相關: 否 |
屬於: Microsoft Windows Operating System | 常見錯誤: 強行結束後會重啟 |
系統進程: 是 | 記憶體使用: 未知N/A |
病毒確定
正常的winlogon系統進程,其用戶名為“SYSTEM” 程式名為小寫winlogon.exe。而偽裝成該進程的木馬程式其用戶名為當前系統用戶名,且程式名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程,其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe,且其中一個為大寫,用戶名為當前系統用戶的話,表明可能存在木馬。這個木馬非常厲害,能破壞掉木馬剋星,使其不能正常運行。使用其他防毒軟體查出難度大。
清除病毒
那個WINDOWS下的WINLOGON.EXE確實是病毒,打開D糟看看是否有一個pagefile的DOS指向檔案和一個autorun.inf檔案了,都是隱藏的,刪除沒用,因為關聯了很多東西,只要運行程式,或者雙擊打開D糟,就會重新自動安裝。
解決“落雪”病毒的方法
症狀:D糟雙擊打不開,裡面有autorun.inf和pagefile#com檔案
安全模式用Administrator解決無效,經過一個下午的奮戰才算勉強解決。手動一個一個的刪除。它所關聯的絕大多數都是顯示為系統檔案和隱藏的。所以要在資料夾選項里打開顯示隱藏檔案。
D糟里就兩個,搞得你無法雙擊打開D糟。C糟里的就多了!
D:\autorun.inf
D:\pagefile#com
C:\Program Files\Internet Explorer\iexplore#com
C:\Program Files\Common Files\iexplore#com
C:\WINDOWS\1#com
C:\WINDOWS\iexplore#com
C:\WINDOWS\finder#com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\*** Programme.exe
C:\Windows\system32\command#com
注意: 這個不要輕易刪,看看是不是和下面幾個日期不一樣而和其他檔案日期一樣,如果和其他檔案大部分 系統檔案 日期一樣就不能刪,當然系統檔案肯定不是這段時間的。
C:\Windows\system32\msconfig#com
C:\Windows\system32\regedit#com
C:\Windows\system32\dxdiag#com
C:\Windows\system32\rundll32#com
C:\Windows\system32\finder#com
C:\Windows\system32\a.exe
對了,看看這些檔案的日期,看看其他地方還有沒有相同時間的檔案還是.COM結尾的可疑檔案,小心不要運行任何程式,要不就又啟動了,包括雙擊磁碟!
還有一個頭號檔案!WINLOGON.EXE!做了這么多工作目的就是要幹掉它!!!
C:\Windows\WINLOGON.EXE
這個在進程里可以看得到,有兩個,一個是真的,一個是假的。
真的是小寫winlogon.exe,用戶名是SYSTEM,
而假的是大寫的WINLOGON.EXE,用戶名是你自己的用戶名。
這個檔案在進程里是中止不了的,說是關鍵進程無法中止,搞得跟真的一樣!就連在安全模式下它都會呆在你的進程里!看一下其中一個檔案的修改日期,然後用“搜尋”搜這天修改過的檔案,相同時間的肯定會出來一大堆的,連繫統還原夾里都有!! 這些檔案會自己關聯的,要是你刪了一部分,不小心運行了一個,或在開始-運行里運行msocnfig,command,regedit這些命令,所有的這些檔案全會自己補充回來!
知道了這些檔案,首先關閉可以關閉的所有程式,打開程式附屬檔案裡頭的WINDOWS資源管理器,並在上面的工具裡頭的資料夾選項裡頭的查看里設定顯示所有檔案和資料夾,取消隱藏受保護作業系統檔案,然後打開開始選單的運行,輸入命令 regedit,進註冊表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裡面,有一個Torjan pragramme,這個明擺著“我是木馬”,刪!!
接著註銷系統!重新進入系統後,打開“任務管理器”,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。到D糟 (注意不要雙擊進入!否則又會激活這個病毒)右鍵,選“打開”,把autorun.inf和pagefile#com刪掉,再到C糟把上面所列出來的檔案都刪掉!中途注意不要雙擊到其中任意一個檔案,否則所有步驟都要重新來過! 然後再註銷系統。
恢復檔案
把那些檔案刪掉後,所有的exe檔案全都打不開了,運行cmd.exe也不行。
解決辦法是,到C:\Windows\system32 里,把cmd.exe檔案複製出來,比如到桌面,改名成cmd#com,然後雙擊這個COM檔案,可以進入到DOS下的命令提示符。
輸入如下命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe檔案就可以運行了。如果不會打命令,只要打開CMD#COM後複製上面的兩行分兩次貼上上去執行就可以了。
但在弄完這些之後,在開機的進入用戶時會有些慢,並會跳出一個警告框,說檔案"1"找不到,最後用上網助手之類的軟體全面修復IE設定。
解決開機跳出找不到檔案“1#com”
在運行程式中運行“regedit”,打開註冊表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"
若是還是無法執行.EXE檔案
下面講述如何恢復被篡改後的.EXE檔案修復工作。一定是某個軟體甚至可能是病毒把擴展名為EXE的檔案關聯刪除或修改了,因此按照前面對話框的提示從控制臺中執行“資料夾選項”命令,選擇“檔案類型”標籤,在“已註冊的檔案類型”列表中找不到擴展名EXE和它的檔案關聯。試著按[新建]按鈕,在“檔案擴展名”後輸入“.exe”,按[高級]按鈕,系統自動將其檔案類型定義為“應用程式”,按[確定]按鈕後在“已註冊的檔案類型”列表中出現了擴展名“EXE”,選擇它後按[更改]按鈕,系統要求選擇要使用的程式,可是到底要選擇什麼應用程式來打開EXE檔案?看來這個方法無效,只好按[取消]按鈕返回“資料夾選項”對話框。
由於以前我從沒聽說要為擴展名為“.exe”的檔案建立檔案關聯,所以在“已註冊的檔案類型”列表中選擇“EXE應用程式”,並按[刪除]按鈕將它刪除。由於所有EXE檔案都不能執行,所以也無法用註冊表編輯器(因為我只能運行Regedit.exe或Regedit32.exe來打開註冊表編輯器)來修改註冊表,看來只好重新啟動計算機了。在出現“正在啟動Windows…”時按[F8]鍵,出現“Windows 2000高級選項選單”,選其中的“最後一次正確的配置”,進入Windows 2000時仍然報錯。只好再次重新啟動,這次選“安全模式”,雖然沒有報錯,但仍不能運行EXE檔案。再試試“帶命令行提示的安全模式”選項,啟動成功後在命令提示符視窗的命令行輸入:help| more(“|”是管道符號,在鍵盤上位於Backspace鍵左邊),在系統顯示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,大致意思是“ASSOC顯示或修改檔案擴展名關聯”,按任意鍵繼續查看,又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,大意是“FTYPE顯示或修改用在檔案擴展名關聯中的檔案類型”,原來在命令提示符視窗還隱藏著這兩個特殊命令,可以用來設定檔案擴展名關聯。於是,在命令行分別輸入“help assoc”和“help ftype”兩個命令獲取了它們的使用方法接著通過下面的設定,終於解決了EXE檔案不能運行的故障。故障解決先在命令行command輸入:assoc .exe來顯示EXE檔案關聯,系統顯示“沒有為擴展名.exe找到檔案關聯”,難怪EXE檔案都不能執行。接著輸入:ftype | more來分屏顯示系統中所有的檔案類型,其中有一行顯示為“exefile="%1" %*”,只要將EXE檔案與“exefile”關聯,故障就會解決。所以在命令行輸入:assoc .exe=exefile(assoc與.exe之間有一空格),螢幕顯示“.exe=exefile”。關閉命令提示符視窗,按[Ctrl+Alt+Del]組合鍵調出“Windows安全”視窗,按[關機]按鈕後選擇“重新啟動”選項,按正常模式啟動Windows 2000後,所有的EXE檔案都能正常運行了。
利用regedit#com的方法應該是最行之有效的辦法:
1、修改regedit.exe 為 regedit#com。
2、 把HKEY_CLASSES_ROOT\exefile\shell\open\command下的default鍵值改為"%1" %。
其他問題
winlogon.exe應用程式錯誤主要是輸入法軟體注入winlogon所導致的藍屏。國內windows XP仍有很多,用戶可將騰訊電腦管家升級至8.2.9749.224版本,並打開騰訊電腦管家電腦診所,搜尋“winlogon.exe”,找到相關問題,點擊一鍵修復即可完成。
軟體誤殺
2010年8月24日,安裝了小紅傘防毒軟體當天升級包的網友紛紛表示,小紅傘將其識別為特洛伊木馬,命名為TR/Patched#AG Trojan,如果用戶選擇刪除的話,系統重啟後可能會無法正常開機。經眾多網友分析,此乃小紅傘誤報,並非本詞條中所提及的落雪病毒,請大家放心,下面提供臨時解決方法,等待官方發布補丁包!
臨時解決方法:打開小紅傘 配置(configuration)-勾選專家模式(expert mode),然後在掃描(scan)裡面找到設定選項,裡面有exception(例外),將winlogon.exe設為排除。待小紅傘官方修復後再修改回來。