|
提起Winlogon许多WinXP用户可能都不知道但是大家却经常用到它!当你按下Ctrl+Alt+Del时Winlogon就激活了此时你会看到一个Windows安全窗口窗口中显示当前登陆帐号和登陆时间还有锁定计算机注销关机更改密码任务管理器等按钮 一Winlogon是什么? Winlogonexe是Windows XP登录管理器位于C:\Windows\System目录下主要用于管理XP用户的登录和退出处理用户登录和注销任务 当你按Ctrl+Alt+Del然后选择任务管理器在进程列表中即可看到Winlogonexe(图)进程其占用空间大小是动态变化的──与用户登录的时间有关如果你登录XP系统一个小时左右该进程将会占用MB~MB内存空间 图 二检查你的Winlogonexe是否正常? 由于Winlogonexe是系统启动必需的进程非常重要所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的当你感染它之后它就会自动把自己的进程插入到Winlogonexe进程中;以后一旦你启动系统PcShare就会随Winlogonexe一起运行而且还能躲过大部分网络防火墙的拦截 正因为Winlogonexe特别容易染上病毒和木马所以关注Winlogonexe是否染毒就很有必要了那么如何检查Winlogonexe是否正常呢?建议你从以下几点来考察 检查Winlogonexe的名称与路径 与其他系统进程(如SMSSEXELSASSEXECSRSSEXE 等)一样Winlogonexe的名称也是不区分大小写的假如你在任务管理器中发现Winlogonexe有时是大写有时又是小写这也是正常的!不过你可要仔细检查其名称中那个O到底是字母O还是数字?如果是数字Winlognexe肯定就是病毒啦! 其次还要检查Winlogonexe所在的路径正常的Winlogonexe应该位于C:\Windows\System目录下并且是以 SYSTEM 用户运行的如果你在任务管理器中发现它是以非SYSTEM 用户运行的或者其所在路径是%Windows%那么这个Winlogonexe肯定也染上病毒了! Winlogonexe不会自动要求连接网络 Winlogonexe是一个本地进程所以它是绝对不会自动要求连接网络的!假如你启动TCPView(下载地址)发现在进程列表中(图)有Winlogonexe进程打开某端口监听要求连接网络那么这个Winlogonexe肯定是被木马程序劫持了应该尽快清除之 图 另外建议你运行一下软件Auto runs(下载地址)然后选择Winlogonexe检查它启动了哪些文件正常情况下Winlogonexe应该启动了个执行文件logonuiexe和个dll文件具体名称如下(如图)如果不是这些文件就非常可疑了! 图 三与Winlogon相关的落雪病毒 前段时间网上曾爆发过WINLOGON病毒给大家造成了很大的麻烦和损失WINLOGON病毒中文名叫落雪是一种专门盗取传奇世界魔兽世界QQ及网银等帐号密码的病毒它不仅盗窃密码而且还能免杀自动关闭杀毒软件及木马克星中了该病毒后你会发现 双击我的电脑/盘符无法打开或出现自动播放大量的文件关联被修改;打开任务管理器出现个WINLOGONexe进程其中winlogonexe是原进程而WINLOGONexe(路径为c:\windows\winlogonexe)则是木马的主程序(为盗号马)你无法结束该进程另外在D盘下还会多出个文件autoruninf和;C盘中将生成如下个病毒文件 C:\Windows\WINLOGONEXE C:\Program Files\Internet Explorer\ C:\Program Files\Common Files\ C:\WINDOWS\ C:\WINDOWS\ C:\WINDOWS\ C:\WINDOWS\Exeroudexe C:\WINDOWS\Debug\Debug Programmeexe C:\Windows\system\ C:\Windows\system\ C:\Windows\system\ C:\Windows\system\ C:\Windows\system\ C:\Windows\system\ C:\Windows\system\aexe 为了清除落雪病毒建议你将杀毒软件病毒库升级到最新然后再用杀毒软件去剿杀;或者手工清除方法如下 终止WINLOGONEXE 利用进程杀手prockiller或者Procexp先结束这个进程(注意不要结束小写的winlogonexe);然后进入注册表删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan ragramme 删除染毒文件 删除 C:\Windows 目录下的 winlogonexewinlogondllwinlogon_hookdll 和 winlogonkeydll 文件再打开注册表清除 AOL instant messenger 服务即位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol 键 接下来右击D盘(不要双击免得激活病毒)选打开删除autoruninf和;进入C盘删除上面所列的个文件! 恢复文件关联 用SRE恢复文件关联先将SREngEXE的后缀改以便能够运行SRE;在SRE主窗口选择启动项目在注册表标签中去掉木马启动项;然后点击系统修复进入文件关联标签勾选全选(图)点修复即可恢复所有的文件关联 图 如果你想手工修复文件关联可以这样操作到C:\Windows\system中把cmdexe文件复制到桌面然后改名成以便能运行之;启动进入DOS状态输入以下命令来恢复exe的文件关联 assoc exe=exefile回车 ftype exefile=% %*回车 重启电脑后exe文件即可运行了;不过再次进入系统后会弹出文件找不到的提示因为病毒文件早已被删除了为此你可以点击开始/运行输入regedit打开注册表定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon把Shell=Explorerexe 恢复为Shell=Explorerexe 便大功告成! |
