今天给各位分享winlogon.exe病毒的知识,其中也会对winmmdll病毒进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
请问winlogin.exe是大写,用户名是“SYSTEM”,这个是病毒吗?
分类: 电脑/网络 反病毒
问题描述:
我的winlogin.exe是大写的,用户名是“SYSTEM”,在任务管理器里删除不了,弹出“该进程为关键系统进程,但是偶然会出现多个小写的winlogin.exe,用户名为当前我的用户名,可以删除,那么我的电脑有中毒吗?
解析:
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ,然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马XX和常用的杀毒软件,使其不能正常运行。目前我使用江民杀毒软件未能查出,连瑞星在线杀毒对它都没有查出来,并且使防火墙处于无法启动状态,在清除病毒之后也不能启动,我不得不重新再安装一次防火墙。
在WINDOWS下的WINLOGON.EXE确实是病毒。但是,它不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS 指向文件(有的版本病毒还有autorun.inf文件),我机器里的pagefile不是隐藏的,而是光明正大的存在D盘里,删这个文件是没用的,因为它关联了很多东西,甚至在安全模式都存在,只要运行任何程带慎序,或者双击打开D盘,它会重新出现在D盘。网上有的网友说叫这个病毒为 ”落雪“ 是专门盗传奇、传奇世界的木马,至于会不会盗其他帐号如QQ,网银就不得而知了(我不会玩传奇,但是也有这个病毒!!我晕~~~~~)。同时它还将将杀毒软件里的设置进行了改变,不能启动防火墙,强制手工启动时,会出现一个窗口说防火墙某个文件失效,被windows 关闭。真的好可恨!!
我解决“落雪”病毒的方法
症状:D盘打开,里面有pagefile文件 ,它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示所有隐藏文件。 D盘里就一个,C盘里的就多了!
D:\pagefile
C:\Program Files\Common Files\iexplore
C:\WINDOWS\1
C:\WINDOWS\iexplore
C:\WINDOWS\finder
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\system32\mand
C:\Windows\system32\msconfig
C:\Windows\system32\regedit
C:\Windows\system32\dxdiag
C:\Windows\system32\rundll32
C:\尺烂Windows\system32\finder
C:\Windows\WINLOGON.EXE
winlogon这个在进程里可以看得到,有两个,一个是真的,一个是假的。真的是小写winlogon.exe,用户名是SYSTEM,而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!
然后打开开始菜单的运行,输入命令 regedit,进注册表,到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面,有一个Torjan programme,这个明摆着“我是木马”,证明你的电脑里已经有WINLOGON.EXE病毒。
知道了这些文件,首先关闭可以关闭的所有程序陵行漏,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹,取消隐藏受保护操作系统文件。
随后我使用了木马杀客软件,进行硬盘扫描,这么作的好处是知道木马病毒所在的位置,同时木马杀客软件将这些木马病毒进行删除操作,如果不能删除就将那些病毒进行隔离。扫描结果是:
2006年2月16日
系统事件:启动项目中发现木马!
木马名称:Troj.LMir2.ky.2605
木马启动项:torjan program
木马从启动项目中清除成功!
c:\windows\winlogon.exe
木马在硬盘清除成功!
c:\windows\winlogon.exe
系统事件:启动项目中发现木马!
木马名称:系统用户登录管理.3
木马启动项:torjan program
木马从启动项目中清除成功!
c:\windows\winlogon.exe
核心启动中发现木马! 已经清除 1
2006年1月16日
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2607
木马路径:C:\WINDOWS\1
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2610
木马路径:C:\WINDOWS\ExERoute.exe
处理方式:隔离 成功
系统事件:已发现木马!
木马名称:W32.Gokar.A@mm.2062
木马路径:C:\WINDOWS\iexplore
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2609
木马路径:C:\WINDOWS\finder
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2615
木马路径:C:\WINDOWS\system32\mand.pif
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2614
木马路径: C:\Windows\system32\mand
处理方式:删除 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2614
木马路径:C:\WINDOWS\system32\dxdiag
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2609
木马路径:C:\WINDOWS\system32\finder
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2616
木马路径:C:\WINDOWS\system32\MSCONFIG.COM
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2617
木马路径:C:\WINDOWS\system32\regedit
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\WINDOWS\system32\rundll32
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\Windows\WINLOGON.EXE
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\WINDOWS\Debug\DebugProgramme.exe
处理方式:隔离 成功
系统事件:已发现伪系统木马!
木马名称:Troj.LMir2.ky.2618
木马路径:C:\Program Files\Common Files\iexplore
处理方式:隔离 成功
然后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile删掉,然后再到C盘把木马杀客上面所列出来的文件都删掉(C盘里上述的病毒经过木马杀客的扫描已经被其屏蔽了,并且在病毒的名字里有屏蔽的字样,很容易找到)!中途注意不要双击到其中任何一个文件,否则所有步骤都要重新来过!删完之后注销,但是在注销之前千万别忘了将垃圾桶清空。
注销之后,我曾经在做到这一步的时候用雅虎IE修复助手进行修复,很不兴所有上述文件全部重新出来了(我哭了55555,雅虎助手强力修复显示共有9个篡改项),我的努力全部附之东流,我又不得不重新再来尝试新的方法,在经过n次尝试,我用了一招最笨的方法,就是重新安装IE,重新启动之后所有病毒文件已经全部不见了,我的江民软件重新回来了(出现了), 而后我进入注册表中查找Torjan programme不见了;进程里WINLOGON.EXE也没有了;我终于消灭了这个该死winlogon.exe病毒。
PS:网友在网上说:删掉那些文件后,所有的exe文件全都打不开了,运行cmd也不行(我没有遇到,抄下来以供大家参考)。网友的解决方法是,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd ,然后双击这个COM文件然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile=%1 %*
这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件1找不到。(可能是Windows下的1文件),解决方法是在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon]中把Shell=Explorer.exe 1恢复为Shell=Explorer.exe ,完成!!菜鸟的话,请进入安全模式,进行杀毒,可以拿杀毒软件
或者手动查杀,在c盘里面搜索这个文件删掉即可`谢谢。。
winlogon.exe病毒介绍以及清楚查杀方法
winlogon.exe正常进程信息:
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
感染后的winlogon.exe病毒进程:
winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
如果你发现你的系统程序里面有一个大写的WINLOGON.EXE,一个小写winlogon.exe,那么恭喜你,你中了“落雪”病毒.大写的 WINLOGON.EXE就是病毒文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass),由VB程序语言编写,通过 nSPack3.1加壳处理(即通常所说的“北斗壳”NorthStar),该木马文件图标一般是红色的图案,伪装成网络游戏的登陆器。
winlogon.exe病毒感染情况分析:
落雪病毒运行后,在C盘programfile以及windows目录下生成
C:windowswinlogon.exe
C:WINDOWS.com
C:WINDOWSExERoute.exe
此高罩 C:WINDOWSiexplore.com
C:WINDOWSfinder.com
C:WINDOWSsystem32command.pif
C:Windowssystem32command.com
C:WINDOWSsystem32dxdiag.com
C:WINDOWSsystem32finder.com
C:WINDOWSsystem32MSCONFIG.COM
C:WINDOWSsystem32regedit.com
C:WINDOWSsystem32rundll32.com
C:WindowsWINLOGON.EXE
C:WINDOWSservices.exe
C:WINDOWSDebugDebugProgramme.exe
等多个病毒文件,病毒文件之多比较少见,,事实上这14个不同文件名的病毒文件系同一种文件,“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称,但是文件扩展名变成了.com。这是病毒利用了Windows 操作系统 执行.com文件的优先级比EXE文件高的特性,这样,当用户调用系统配置文件Msconfig.exe的时候,一般习惯上输入Msconfig,而森闹这是执行的并不是微软的Msconfig.exe程序,而是病毒文件 Msconfig.com,落雪病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有,病毒还创建一名为winlogon.exe的进程,并把 winlogon.exe的路径指向c:windowsWINLOGON.EXE,而正常的系统进程路径是 C:WINDOWSsystem32winlogon.exe,以此达到迷惑用户的目的。
除了在C盘下生成很多病毒文件外,病毒还修改注册表文件关联,每当用户点击html文件时,都会运行病毒。此外,病毒还在其他盘下生成一个 autorun.inf和一个pagefile.com的文件念森自动运行批处理文件,这样即使C盘目录下的病毒文件被清除,当用户打开D盘时,病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。
winlogon.exe病毒手动查杀方案:
WINLOGON.EXE病毒,近来在网络很流行,许多朋友都中了,许多杀毒软件能查到,但是无论如何都无法清除。
不知道什么原因,这个病毒的中文译名叫做“落雪”,又叫“飘雪”,很美吧?
我检查了一下,发现进程里多出一个大写的WINLOGON,是在winnt或windows目录下的,而正常情况下,这个进程应该是在winnt或 windows/system32目录下的,此进程不言而知。注册表下的启动项,里面有个Torjan pragramme的启动项目,不能彻底删除。
以下是删除的 方法 :
这个进程WINLOGON.EXE的用户名是用户自己,因此不可能是正常的系统进程,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星等许多著名的杀毒软件,使其不能正常运行,就算能正常运行,也会错误杀毒或查毒。目前使用其他杀毒软件未能杀死。但是很明显,人工也可以看出,那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家用鼠标右键【打开】,打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,这些当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都不能删死,只要运行任何程序,或者双击打开D盘,她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个解除的传家宝了。
我分析了一下这个木马的资料,连接是通向河南和天津的某一地区,看来是国内的。而且她很有趣,如果你机子上有传奇等游戏,必然惹来她的亲吻,那么说QQ之类的帐号密码会不会被泄漏,这个不清楚,但起码我有些朋友已经被盗了。
解决“落雪”病毒的方法
症状:D盘双击打不开,而且里面有autorun.inf和pagefile.com文件
此病毒的制作者很了解系统的运作,因此此两个文件难以删除,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘很多相关文件程序
D:autorun.inf
D:pagefile.com
C:Program FilesInternet Exploreriexplore.com
C:Program FilesCommon Filesiexplore.com
C:WINDOWS.com
C:WINDOWSiexplore.com
C:WINDOWSfinder.com
C:WINDOWSExeroud.exe(传奇的图标,很漂亮)
C:WINDOWSDebug*** Programme.exe(也是上面那个图标,名字每台机子都不同,但是明显是非隐藏的)
C:Windowssystem32command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:Windowssystem32msconfig.com
C:Windowssystem32regedit.com
C:Windowssystem32dxdiag.com
C:Windowssystem32rundll32.com
C:Windowssystem32finder.com
C:Windowssystem32a.exe
值得注意的是:看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘,还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要离开她的亲吻!
C:WindowsWINLOGON.EXE
这个在进程里明显可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选【打开】,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
打开我的电脑点工具==文件夹选项==文件类型==新建exe扩展名,点高级选应用程序。
即可运行
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用System Repair Engineer看情况 修理 一下系统的启动项、系统关联等。
最后说一下怎么解决开机提示找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 当然这也是启动项罢了。
杀毒软件查杀winlogon.exe病毒方法:
请更新你的杀毒软件病毒库到最新版本进行查杀
Winlogon.exe是什么进程
Winlogon.exe是windows登录管理器,位于C:\Windows\System32目录下,主要用于管理XP用户的登录和退出,处理用蔽中户登录和注销任务。
当你按Ctrl+Alt+Del然后选择“任务管理器”,在进程列表中即可看到Winlogon.exe进程,其占用空缓好间大小是动态变化的──与用户登录的时间有关。如果你登录系统一个小时左右,该进程将会占用1.2MB~8.5MB内存空间。
由于Winlogon.exe是系统启动必需的进程、非常重要,所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的,当你感染它之后,它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统,PcShare就会随Winlogon.exe一起运行,而且还能躲过大部分网络防火墙的拦截。
与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样,Winlogon.exe的名称也是不区分大小写的,假如你在任务管理器中发现,Winlogon.exe有时是大写、有时又是小写,这也是正常的!不过你可要仔细检查,其名称中那个“O”到底是字母O、还是数字0?如果是数字0,Winlog0n.exe肯定就是病毒啦!
其次还要检查Winlogon.exe所在的路径,正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的,或者其所在路径是%Windows%,那么这个Winlogon.exe肯定也染扰并铅上病毒了
电脑开机时提示winlogon.exe-应用程序错误,无论按什么都开不了机。
原因:硬件装了不匹配的驱动。
1、首先重新启动电脑,在出现开机画面的时候,不断地按“F8”按键。
2、然后就会进入到高级选项菜单界面中,选择“安全模式”,回车确定。
3、然后在安全模式下,按“win+R”打开运行,输入“msconfig”,回车确定。
4、然后在弹出来的窗口中打开“启动”,点击右下角汪亮肢的“困世全部禁用”,回车确定。
5、然后卸载搜狗输入法和其他多余的输入法(极品五笔和百度输入法)。
6、然后键档重启电脑就可以解决这个问题了。
winlogon.exe病毒的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于winmmdll病毒、winlogon.exe病毒的信息别忘了在本站进行查找喔。