解析:
winlogon - winlogon.exe - 進程信息
進程文件: winlogon or winlogon.exe
進程名稱: Microsoft Windows Logon Process
描述:
WinLogon.exe是Windows NT登陸管理器。它用於處理妳系統的登陸和登陸過程。該進程在妳系統的作用是非常重要的。註意:winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒。該病毒通過Email郵件傳播,當妳打開病毒發送的附件時,即會被感染。該病毒會創建SMTP引擎在受害者的計算機上,群發郵件進行傳播。該病毒允許攻擊者訪問妳的計算機,竊取密碼和個人數據。該進程的安全等級是建議刪除。
出品者: Microsoft Corp.
屬於: Microsoft Windows Operating System
系統進程: 是
後臺程序: 是
使用網絡: 否
硬件相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 0
間諜軟件: 否
Adware: 否
病毒: 否
木馬: 否
Windows Logon Process,Windows NT用戶登陸程序。這個進程是管理用戶登錄和退出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。
如果是病毒的話。!
解決“落雪”病毒的方法
癥狀:D盤雙擊打不開,裏面有autorun.inf和pagefile文件
做這個病毒的人也太強了,在安全模式用Administrator壹樣解決不了!經過壹個下午的奮戰才算勉強解決。 我沒用什麽查殺木馬的軟件,全是手動壹個壹個把它揪出來把他刪掉的。它所關聯的文件如下,絕大多數文件都是顯示為系統文件和隱藏的。 所以要在文件夾選項裏打開顯示隱藏文件。
D盤裏就兩個,搞得妳無法雙擊打開D盤。裏盤裏的就多了!
D:\autorun.inf
D:\pagefile
C:\Program Files\Inter Explorer\iexplore
C:\Program Files\Common Files\iexplore
C:\WINDOWS\1
C:\WINDOWS\iexplore
C:\WINDOWS\finder
C:\WINDOWS\Exeroud.exe(忘了是不是這個名字了,紅色圖標有傳奇世界圖標的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那個圖標,名字忘了-_- 好大好明顯非隱藏的)
C:\Windows\system32\mand 這個不要輕易刪,看看是不是和下面幾個日期不壹樣而和其他文件日期壹樣,如果和其他文件大部分系統文件日期壹樣就不能刪,當然系統文件肯定不是這段時間的。
C:\Windows\system32\msconfig
C:\Windows\system32\regedit
C:\Windows\system32\dxdiag
C:\Windows\system32\rundll32
C:\Windows\system32\finder
C:\Windows\system32\a.exe
對了,看看這些文件的日期,看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件,小心不
要運行任何程序,要不就又啟動了,包括雙擊磁盤
還有壹個頭號文件!WINLOGON.EXE!做了這麽多工作目的就是要幹掉她!!!
C:\Windows\WINLOGON.EXE
這個在進程裏可以看得到,有兩個,壹個是真的,壹個是假的。
真的是小寫winlogon.exe,(不知妳們的是不是),用戶名是SYSTEM,
而假的是大寫的WINLOGON.EXE,用戶名是妳自己的用戶名。
這個文件在進程裏是中止不了的,說是關鍵進程無法中止,搞得跟真的壹樣!就連在安全模式下它都會
呆在妳的進程裏! 我現在所知道的就這些,要是不放心,就最好看壹下其中壹個文件的修改日期,然後用“搜索”搜這天修改過的文件,相同時間的肯定會出來壹大堆的, 連系統還原夾裏都有!! 這些文件會自己關聯的,要是妳刪了壹部分,不小心運行了壹個,或在開始-運行裏運行msofig,mand,regedit這些命令,所有的這些文件全會自己補充回來!
知道了這些文件,首先關閉可以關閉的所有程序,打開程序附件裏頭的WINDOWS資源管理器,並在上面的工具裏頭的文件夾選項裏頭的查看裏設置顯示所有文件和文件假,取消隱藏受保護操作系統文件,然後打開開始菜單的運行,輸入命令 regedit,進註冊表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裏面,有壹個Torjan pragramme,這個明擺著“我是木馬”,刪!!
然後註銷! 重新進入系統後,打開“任務管理器”,看看有沒rundll32,有的話先中止了,不知這個是真還是假,小心為好。 到D盤(註意不要雙擊進入!否則又會激活這個病毒)右鍵,選“打開”,把autorun.inf和pagefile刪掉,
然後再到C盤把上面所列出來的文件都刪掉!中途註意不要雙擊到其中壹個文件,否則所有步驟都要重新來過! 然後再註銷。
我在奮戰過程中,把那些文件刪掉後,所有的exe文件全都打不開了,運行cmd也不行。
然後,到C:\Windows\system32 裏,把cmd.exe文件復制出來,比如到桌面,改名成cmd 嘿嘿 我也會用文件,然後雙擊這個COM文件
然後行動可以進入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc與.exe之間有空格)
ftype exefile="%1" %*
這樣exe文件就可以運行了。 如果不會打命令,只要打開CMD.COM後復制上面的兩行分兩次粘貼上去執行就可以了。
但我在弄完這些之後,在開機的進入用戶時會有些慢,並會跳出壹個警告框,說文件"1"找不到。(應該是Windows下的1文件。),最後用上網助手之類的軟件全面修復IE設置
最後說壹下怎麽解決開機跳出找不到文件“1”的方法:
在運行程序中運行“regedit”,打開註冊表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"