提起Winlogon，許多WinXP用戶可能都不知道，但是大家卻經(jīng)常用到它!當(dāng)你按下Ctrl+Alt+Del時(shí)，Winlogon就激活了，此時(shí)你會(huì)看到一個(gè)Windows安全窗口，窗口中顯示當(dāng)前登陸帳號(hào)和登陸時(shí)間，還有“鎖定計(jì)算機(jī)”、“注銷(xiāo)”、“關(guān)機(jī)”、“更改密碼”、“任務(wù)管理器”等按鈕。

一、Winlogon是什么?

Winlogon.exe是Windows XP登錄管理器，位于C:WindowsSystem32目錄下，主要用于管理XP用戶的登錄和退出，處理用戶登錄和注銷(xiāo)任務(wù)。

當(dāng)你按Ctrl+Alt+Del然后選擇“任務(wù)管理器”，在進(jìn)程列表中即可看到Winlogon.exe(圖1)進(jìn)程，其占用空間大小是動(dòng)態(tài)變化的──與用戶登錄的時(shí)間有關(guān)。如果你登錄XP系統(tǒng)一個(gè)小時(shí)左右，該進(jìn)程將會(huì)占用1.2MB～8.5MB內(nèi)存空間。

圖 1

二、檢查你的Winlogon.exe是否正常?

由于Winlogon.exe是系統(tǒng)啟動(dòng)必需的進(jìn)程、非常重要，所以目前很多木馬程序都盯上了它!例如國(guó)產(chǎn)木馬程序中有個(gè)叫PcShare的，當(dāng)你感染它之后，它就會(huì)自動(dòng)把自己的進(jìn)程插入到Winlogon.exe進(jìn)程中;以后一旦你啟動(dòng)系統(tǒng)，PcShare就會(huì)隨Winlogon.exe一起運(yùn)行，而且還能躲過(guò)大部分網(wǎng)絡(luò)防火墻的攔截。

正因?yàn)閃inlogon.exe特別容易染上病毒和木馬，所以關(guān)注Winlogon.exe是否染毒就很有必要了，那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點(diǎn)來(lái)考察：

1、檢查Winlogon.exe的名稱與路徑

與其他系統(tǒng)進(jìn)程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣，Winlogon.exe的名稱也是不區(qū)分大小寫(xiě)的，假如你在任務(wù)管理器中發(fā)現(xiàn)，Winlogon.exe有時(shí)是大寫(xiě)、有時(shí)又是小寫(xiě)，這也是正常的!不過(guò)你可要仔細(xì)檢查，其名稱中那個(gè)“O”到底是字母O、還是數(shù)字0?如果是數(shù)字0，Winlog0n.exe肯定就是病毒啦!

其次還要檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應(yīng)該位于C:WindowsSystem32目錄下、并且是以 SYSTEM 用戶運(yùn)行的。如果你在任務(wù)管理器中發(fā)現(xiàn)它是以非SYSTEM 用戶運(yùn)行的，或者其所在路徑是%Windows%，那么這個(gè)Winlogon.exe肯定也染上病毒了!

2、Winlogon.exe不會(huì)自動(dòng)要求連接網(wǎng)絡(luò)

Winlogon.exe是一個(gè)本地進(jìn)程，所以它是絕對(duì)不會(huì)自動(dòng)要求連接網(wǎng)絡(luò)的!假如你啟動(dòng)TCPView2.4(下載地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml)，發(fā)現(xiàn)在進(jìn)程列表中(圖2)有Winlogon.exe進(jìn)程打開(kāi)某端口監(jiān)聽(tīng)、要求連接網(wǎng)絡(luò)，那么這個(gè)Winlogon.exe肯定是被木馬程序劫持了，應(yīng)該盡快清除之。

圖 2

另外建議你運(yùn)行一下軟件Auto runs(下載地址http://www.mydown.com/soft/18/18943.html)，然后選擇Winlogon.exe，檢查它啟動(dòng)了哪些文件。正常情況下，Winlogon.exe應(yīng)該啟動(dòng)了1個(gè)執(zhí)行文件logonui.exe和6個(gè)dll文件，具體名稱如下(如圖3)，如果不是這些文件，就非常可疑了!

圖 3

三、與Winlogon相關(guān)的“落雪”病毒

前段時(shí)間，網(wǎng)上曾爆發(fā)過(guò)WINLOGON病毒，給大家造成了很大的麻煩和損失。WINLOGON病毒中文名叫“落雪”，是一種專(zhuān)門(mén)盜取“傳奇世界”、“魔獸世界”、“QQ”及網(wǎng)銀等帳號(hào)密碼的病毒。它不僅盜竊密碼，而且還能免殺、自動(dòng)關(guān)閉殺毒軟件及木馬克星，中了該病毒后你會(huì)發(fā)現(xiàn)：

雙擊“我的電腦”/盤(pán)符無(wú)法打開(kāi)、或出現(xiàn)自動(dòng)播放，大量的文件關(guān)聯(lián)被修改;打開(kāi)任務(wù)管理器，出現(xiàn)2個(gè)WINLOGON.exe進(jìn)程，其中winlogon.exe是原進(jìn)程，而WINLOGON.exe(路徑為c:windowswinlogon.exe)則是木馬的主程序(為盜號(hào)馬)，你無(wú)法結(jié)束該進(jìn)程。另外，在D盤(pán)下還會(huì)多出2個(gè)文件autorun.inf和pagefile.com;C盤(pán)中將生成如下15個(gè)病毒文件：

C:WindowsWINLOGON.EXE

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS1.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe

C:WINDOWSDebugDebug Programme.exe

C:Windowssystem32command.com

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

為了清除落雪病毒，建議你將殺毒軟件病毒庫(kù)升級(jí)到最新，然后再用殺毒軟件去剿殺;或者手工清除，方法如下：

1、終止WINLOGON.EXE

利用進(jìn)程殺手prockiller2.7，或者Procexp先結(jié)束這個(gè)進(jìn)程(注意不要結(jié)束小寫(xiě)的winlogon.exe);然后進(jìn)入注冊(cè)表，刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTorjan ragramme

2、刪除染毒文件

刪除 C:Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再打開(kāi)注冊(cè)表，清除 AOL instant messenger 7.0 服務(wù)，即位于注冊(cè)表 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices] 下的 aol7.0 鍵。

接下來(lái)右擊D盤(pán)(不要雙擊，免得激活病毒)，選“打開(kāi)”，刪除autorun.inf和pagefile.com;進(jìn)入C盤(pán)，刪除上面所列的15個(gè)文件!

3、恢復(fù)文件關(guān)聯(lián)

用SRE恢復(fù)文件關(guān)聯(lián)。先將SREng.EXE的后綴改為.com，以便能夠運(yùn)行SRE;在SRE主窗口選擇“啟動(dòng)項(xiàng)目”，在“注冊(cè)表”標(biāo)簽中去掉木馬啟動(dòng)項(xiàng);然后點(diǎn)擊“系統(tǒng)修復(fù)”，進(jìn)入“文件關(guān)聯(lián)”標(biāo)簽，勾選“全選”(圖4)，點(diǎn)“修復(fù)”，即可恢復(fù)所有的文件關(guān)聯(lián)。

圖 4

如果你想手工修復(fù)文件關(guān)聯(lián)，可以這樣操作：到C:Windowssystem32中，把cmd.exe文件復(fù)制到桌面，然后改名成cmd.com，以便能運(yùn)行之;啟動(dòng)cmd.com進(jìn)入DOS狀態(tài)，輸入以下命令來(lái)恢復(fù)exe的文件關(guān)聯(lián)：

assoc .exe=exefile回車(chē)

ftype exefile='%1' %*回車(chē)

重啟電腦后，exe文件即可運(yùn)行了;不過(guò)再次進(jìn)入系統(tǒng)后，會(huì)彈出“文件1找不到”的提示，因?yàn)?.com病毒文件早已被刪除了，為此你可以點(diǎn)擊“開(kāi)始”/運(yùn)行，輸入regedit打開(kāi)注冊(cè)表，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon把'Shell'='Explorer.exe 1'恢復(fù)為'Shell'='Explorer.exe' 便大功告成!