winlogon.exe應(yīng)用程序錯(cuò)誤、winlogon.exe是什么進(jìn)程
Windows Logon Process,Windows NT 用戶登陸程序,管理用戶登錄和退出。該進(jìn)程的正常路徑應(yīng)是 C:\Windows\System32 且是以 SYSTEM 用戶運(yùn)行,若不是以上路徑且不以 SYSTEM 用戶運(yùn)行,則可能是 W32.Netsky.D@mm 蠕蟲病毒,該病毒通過(guò) EMail 郵件傳播,當(dāng)你打開(kāi)病毒發(fā)送的附件時(shí),即會(huì)被感染。
文件信息
軟件大?。?67KB
軟件星級(jí):2.5
軟件語(yǔ)言:中文簡(jiǎn)體
開(kāi) 發(fā) 商:HOMEPAGE
軟件類別:國(guó)產(chǎn)軟件
軟件授權(quán):免費(fèi)版本
更新時(shí)間:2010-02-0814:35:36
應(yīng)用平臺(tái):9x/XP/2K/Vista[1]
進(jìn)程信息
進(jìn)程文件: winlogon or winlogon.exe
進(jìn)程名稱: Microsoft Windows Logon Process
描述:
該病毒會(huì)創(chuàng)建 SMTP 引擎在受害者的計(jì)算機(jī)上,群發(fā)郵件進(jìn)行傳播。手工清除該病毒時(shí)先結(jié)束病毒進(jìn)程 winlogon.exe,然后刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再清除 AOL instant messenger 7.0 服務(wù),位于注冊(cè)表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
出品者: Microsoft Corp.
屬于: Microsoft Windows Operating System
系統(tǒng)進(jìn)程: 是
后臺(tái)程序: 是
使用網(wǎng)絡(luò): 否
硬件相關(guān): 否
常見(jiàn)錯(cuò)誤: 目前未知
內(nèi)存使用: 目前未知
安全等級(jí) (0-5): 0
間諜軟件: 否
Adware: 否
病毒: 否
木馬: 否
檢查Winlogon.exe是否正常
由于Winlogon.exe是系統(tǒng)啟動(dòng)必需的進(jìn)程、非常重要,所以目前很多木馬程序都盯上了它!例如國(guó)產(chǎn)木馬程序中有個(gè)叫PcShare的,當(dāng)你感染它之后,它就會(huì)自動(dòng)把自己的進(jìn)程插入到Winlogon.exe進(jìn)程中;以后一旦你啟動(dòng)系統(tǒng),PcShare就會(huì)隨Winlogon.exe一起運(yùn)行,而且還能躲過(guò)大部分網(wǎng)絡(luò)防火墻的攔截。
正因?yàn)閃inlogon.exe特別容易染上病毒和木馬,所以關(guān)注Winlogon.exe是否染毒就很有必要了,那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點(diǎn)來(lái)考察:
檢查Winlogon.exe的名稱與路徑
與其他系統(tǒng)進(jìn)程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣,Winlogon.exe的名稱也是不區(qū)分大小寫的,假如你在任務(wù)管理器中發(fā)現(xiàn),Winlogon.exe有時(shí)是大寫、有時(shí)又是小寫,這也是正常的!不過(guò)你可要仔細(xì)檢查,其名稱中那個(gè)“O”到底是字母O、還是數(shù)字0?如果是數(shù)字0,Winlog0n.exe肯定就是病毒啦!
其次還要檢查Winlogon.exe所在的路徑,正常的Winlogon.exe應(yīng)該位于C:\Windows\System32目錄下、并且是以 SYSTEM 用戶運(yùn)行的。如果你在任務(wù)管理器中發(fā)現(xiàn)它是以非SYSTEM 用戶運(yùn)行的,或者其所在路徑是%Windows%,那么這個(gè)Winlogon.exe肯定也染上病毒了!
Winlogon.exe不會(huì)自動(dòng)要求連接網(wǎng)絡(luò)
Winlogon.exe是一個(gè)本地進(jìn)程,所以它是絕對(duì)不會(huì)自動(dòng)要求連接網(wǎng)絡(luò)的!假如你啟動(dòng)TCPView2.4,[2]發(fā)現(xiàn)在進(jìn)程列表中有Winlogon.exe進(jìn)程打開(kāi)某端口監(jiān)聽(tīng)、要求連接網(wǎng)絡(luò),那么這個(gè)Winlogon.exe肯定是被木馬程序劫持了,應(yīng)該盡快清除之。
另外建議你運(yùn)行一下軟件Auto runs,然后選擇Winlogon.exe,檢查它啟動(dòng)了哪些文件。正常情況下,Winlogon.exe應(yīng)該啟動(dòng)了1個(gè)執(zhí)行文件logonui.exe和6個(gè)dll文件,具體名稱如下,如果不是這些文件,就非??梢闪?
經(jīng)案例
最近出現(xiàn)一個(gè)名為“落雪”的病毒,這個(gè)病毒非常厲害,能破壞木馬克星,使其不能正常運(yùn)行。它由VB 程序語(yǔ)言編寫,通過(guò)北斗殼加殼處理,該木馬文件圖標(biāo)一般是紅色的圖案,偽裝成網(wǎng)絡(luò)游戲的登錄器。病毒運(yùn)行后,在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個(gè)病毒文件,病毒文件之多比較少見(jiàn)。事實(shí)上這14個(gè)不同文件名的病毒文件系同一種文件,“落雪”之名亦可能由此而來(lái)。該木馬另一狡詐之處就是創(chuàng)建一名為winlogon.exe的進(jìn)程,并把其路徑指向c:\windows\winlogon.exe(正常的系統(tǒng)進(jìn)程路徑是C:\WINDOWS\system32\ winlogon.exe),以此達(dá)到迷惑用戶的目的。
不可或缺的Winlogon
悟空問(wèn)道:“教授,今天我們學(xué)習(xí)哪個(gè)進(jìn)程?。?rdquo;譚教授:“悟空,你每天啟動(dòng)操作系統(tǒng)的時(shí)候,有沒(méi)有想過(guò)系統(tǒng)的啟動(dòng)和哪些進(jìn)程有關(guān)呢?”看著悟空抓耳撓腮的樣子,譚教授明白他一定是沒(méi)有注意到,于是說(shuō):“今天我們就來(lái)講解一下這個(gè)和系統(tǒng)啟動(dòng)相關(guān)的進(jìn)程——Winlogon.exe。”
小知識(shí):Winlogon.exe是Windows NT登錄管理器。它用于處理用戶系統(tǒng)的登錄和登錄過(guò)程,并且管理用戶的登錄和退出。Winlogon在用戶按下Ctrl+Alt+Del時(shí)就激活了,顯示安全對(duì)話框。該進(jìn)程在用戶系統(tǒng)中的作用是非常重要的。
看完前面的介紹,經(jīng)常玩游戲的八戒說(shuō)道:“通過(guò)這幾期的學(xué)習(xí)后我發(fā)現(xiàn),這些高危的進(jìn)程常常被病毒、木馬、后門所利用。木馬文件名都模擬成正常的系統(tǒng)工具名稱,但是文件擴(kuò)展名變成了‘.com’,為什么會(huì)這樣呢?”
譚教授解釋道:“是因?yàn)閃indows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級(jí)比.exe文件高的特性。比如木馬命名為Regedit.com,當(dāng)用戶調(diào)用注冊(cè)表編輯器Regedit.exe的時(shí)候,一般習(xí)慣輸入Regedit,而這時(shí)執(zhí)行的并不是微軟的Regedit.exe程序,而是木馬文件Regedit.com,由此也可以看出木馬作者的‘用心良苦’。”
悟空馬上接茬:“怪不得注冊(cè)表被加密后,人們將Regedit.exe改為Regedit.com就可以解密了。”譚教授對(duì)悟空的表現(xiàn)感到非常的欣慰。
突然悟空又撓著頭說(shuō)道:“通過(guò)前面幾期的講解,我已經(jīng)對(duì)這些病毒、木馬迷惑用戶的方法略知一二。那么除了通過(guò)相似的名稱,以及改變?cè)新窂絹?lái)進(jìn)行以假亂真以外,我常常聽(tīng)網(wǎng)友說(shuō)通過(guò)進(jìn)程名稱的大小寫也可以進(jìn)行分辨?”
“這個(gè)我也經(jīng)常聽(tīng)說(shuō),但是我覺(jué)得這樣分辨不科學(xué),因?yàn)檫M(jìn)程名稱的大小寫是根據(jù)文件名稱的大小寫來(lái)決定的。”譚教授解釋道。
關(guān)鍵詞:winlogon.exe,應(yīng)用程序錯(cuò)誤
閱讀本文后您有什么感想? 已有 人給出評(píng)價(jià)!
- 0
- 0
- 0
- 0
- 0
- 0