提起Winlogon，許多WinXP用戶可能都不知道，但是大家卻經(jīng)常用到它!當(dāng)你按下Ctrl+Alt+Del時，Winlogon就激活了，此時你會看到一個Windows安全窗口，窗口中顯示當(dāng)前登陸帳號和登陸時間，還有“鎖定計算機(jī)”、“注銷”、“關(guān)機(jī)”、“更改密碼”、“任務(wù)管理器”等按鈕。

一、Winlogon是什么?

Winlogon.exe是Windows XP登錄管理器，位于C:WindowsSystem32目錄下，主要用于管理XP用戶的登錄和退出，處理用戶登錄和注銷任務(wù)。

當(dāng)你按Ctrl+Alt+Del然后選擇“任務(wù)管理器”，在進(jìn)程列表中即可看到Winlogon.exe(圖1)進(jìn)程，其占用空間大小是動態(tài)變化的──與用戶登錄的時間有關(guān)。如果你登錄XP系統(tǒng)一個小時左右，該進(jìn)程將會占用1.2MB～8.5MB內(nèi)存空間。

圖 1

二、檢查你的Winlogon.exe是否正常?

由于Winlogon.exe是系統(tǒng)啟動必需的進(jìn)程、非常重要，所以目前很多木馬程序都盯上了它!例如國產(chǎn)木馬程序中有個叫PcShare的，當(dāng)你感染它之后，它就會自動把自己的進(jìn)程插入到Winlogon.exe進(jìn)程中;以后一旦你啟動系統(tǒng)，PcShare就會隨Winlogon.exe一起運(yùn)行，而且還能躲過大部分網(wǎng)絡(luò)防火墻的攔截。

正因?yàn)閃inlogon.exe特別容易染上病毒和木馬，所以關(guān)注Winlogon.exe是否染毒就很有必要了，那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點(diǎn)來考察：

1、檢查Winlogon.exe的名稱與路徑

與其他系統(tǒng)進(jìn)程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣，Winlogon.exe的名稱也是不區(qū)分大小寫的，假如你在任務(wù)管理器中發(fā)現(xiàn)，Winlogon.exe有時是大寫、有時又是小寫，這也是正常的!不過你可要仔細(xì)檢查，其名稱中那個“O”到底是字母O、還是數(shù)字0?如果是數(shù)字0，Winlog0n.exe肯定就是病毒啦!

其次還要檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應(yīng)該位于C:WindowsSystem32目錄下、并且是以 SYSTEM 用戶運(yùn)行的。如果你在任務(wù)管理器中發(fā)現(xiàn)它是以非SYSTEM 用戶運(yùn)行的，或者其所在路徑是%Windows%，那么這個Winlogon.exe肯定也染上病毒了!

2、Winlogon.exe不會自動要求連接網(wǎng)絡(luò)

Winlogon.exe是一個本地進(jìn)程，所以它是絕對不會自動要求連接網(wǎng)絡(luò)的!假如你啟動TCPView2.4(下載地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml)，發(fā)現(xiàn)在進(jìn)程列表中(圖2)有Winlogon.exe進(jìn)程打開某端口監(jiān)聽、要求連接網(wǎng)絡(luò)，那么這個Winlogon.exe肯定是被木馬程序劫持了，應(yīng)該盡快清除之。

圖 2

另外建議你運(yùn)行一下軟件Auto runs(下載地址http://www.mydown.com/soft/18/18943.html)，然后選擇Winlogon.exe，檢查它啟動了哪些文件。正常情況下，Winlogon.exe應(yīng)該啟動了1個執(zhí)行文件logonui.exe和6個dll文件，具體名稱如下(如圖3)，如果不是這些文件，就非常可疑了!

圖 3

三、與Winlogon相關(guān)的“落雪”病毒

前段時間，網(wǎng)上曾爆發(fā)過WINLOGON病毒，給大家造成了很大的麻煩和損失。WINLOGON病毒中文名叫“落雪”，是一種專門盜取“傳奇世界”、“魔獸世界”、“QQ”及網(wǎng)銀等帳號密碼的病毒。它不僅盜竊密碼，而且還能免殺、自動關(guān)閉殺毒軟件及木馬克星，中了該病毒后你會發(fā)現(xiàn)：

雙擊“我的電腦”/盤符無法打開、或出現(xiàn)自動播放，大量的文件關(guān)聯(lián)被修改;打開任務(wù)管理器，出現(xiàn)2個WINLOGON.exe進(jìn)程，其中winlogon.exe是原進(jìn)程，而WINLOGON.exe(路徑為c:windowswinlogon.exe)則是木馬的主程序(為盜號馬)，你無法結(jié)束該進(jìn)程。另外，在D盤下還會多出2個文件autorun.inf和pagefile.com;C盤中將生成如下15個病毒文件：

C:WindowsWINLOGON.EXE

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS1.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe

C:WINDOWSDebugDebug Programme.exe

C:Windowssystem32command.com

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

為了清除落雪病毒，建議你將殺毒軟件病毒庫升級到最新，然后再用殺毒軟件去剿殺;或者手工清除，方法如下：

1、終止WINLOGON.EXE

利用進(jìn)程殺手prockiller2.7，或者Procexp先結(jié)束這個進(jìn)程(注意不要結(jié)束小寫的winlogon.exe);然后進(jìn)入注冊表，刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTorjan ragramme

2、刪除染毒文件

刪除 C:Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再打開注冊表，清除 AOL instant messenger 7.0 服務(wù)，即位于注冊表 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices] 下的 aol7.0 鍵。

接下來右擊D盤(不要雙擊，免得激活病毒)，選“打開”，刪除autorun.inf和pagefile.com;進(jìn)入C盤，刪除上面所列的15個文件!

3、恢復(fù)文件關(guān)聯(lián)

用SRE恢復(fù)文件關(guān)聯(lián)。先將SREng.EXE的后綴改為.com，以便能夠運(yùn)行SRE;在SRE主窗口選擇“啟動項(xiàng)目”，在“注冊表”標(biāo)簽中去掉木馬啟動項(xiàng);然后點(diǎn)擊“系統(tǒng)修復(fù)”，進(jìn)入“文件關(guān)聯(lián)”標(biāo)簽，勾選“全選”(圖4)，點(diǎn)“修復(fù)”，即可恢復(fù)所有的文件關(guān)聯(lián)。

圖 4

如果你想手工修復(fù)文件關(guān)聯(lián)，可以這樣操作：到C:Windowssystem32中，把cmd.exe文件復(fù)制到桌面，然后改名成cmd.com，以便能運(yùn)行之;啟動cmd.com進(jìn)入DOS狀態(tài)，輸入以下命令來恢復(fù)exe的文件關(guān)聯(lián)：

assoc .exe=exefile回車

ftype exefile='%1' %*回車

重啟電腦后，exe文件即可運(yùn)行了;不過再次進(jìn)入系統(tǒng)后，會彈出“文件1找不到”的提示，因?yàn)?.com病毒文件早已被刪除了，為此你可以點(diǎn)擊“開始”/運(yùn)行，輸入regedit打開注冊表，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon把'Shell'='Explorer.exe 1'恢復(fù)為'Shell'='Explorer.exe' 便大功告成!