winlogon

作為一個系統核心進程，Winlogon.exe進程已被很多病毒盯上，國內外安全廠商已經截獲很多類似病毒，感染情況包括進程位置變化、資源佔用變化、錯誤提示等 ^[1]  。若發生此類情況很有可能已被感染病毒。

該病毒會創建 SMTP 引擎在受害者的計算機上，羣發郵件進行傳播。手工清除該病毒時先利用進程管理類程序（如冰刃、No.1進程管理器等，系統的任務管理器會將病毒的winlogon誤認為是系統關鍵進程從而無法結束）結束病毒進程 winlogon.exe，然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服務，位於註冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。

正常的winlogon系統進程，其用户名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用户名為當前系統用户名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程，其用户名為“SYSTEM”。如果出現了兩個winlogon.exe，且其中一個為大寫，用户名為當前系統用户的話，表明可能存在木馬。這個木馬非常厲害，能破壞掉木馬克星，使其不能正常運行。使用其他殺毒軟件查出難度大。

那個WINDOWS下的WINLOGON.EXE確實是病毒，打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，都是隱藏的，刪除沒用，因為關聯了很多東西，只要運行程序，或者雙擊打開D盤，就會重新自動安裝。

症狀：D盤雙擊打不開，裏面有autorun.inf和pagefile#com文件

安全模式用Administrator解決無效，經過一個下午的奮戰才算勉強解決。手動一個一個的刪除。它所關聯的絕大多數都是顯示為系統文件和隱藏的。所以要在文件夾選項裏打開顯示隱藏文件。

D盤裏就兩個，搞得你無法雙擊打開D盤。(C盤裏的就多了)

D:\autorun.inf

D:\pagefile#com

C:\Program Files\Internet Explorer\iexplore#com

C:\Program Files\Common Files\iexplore#com

C:\WINDOWS\1#com

C:\WINDOWS\iexplore#com

C:\WINDOWS\finder#com

C:\WINDOWS\Exeroud.exe

C:\WINDOWS\Debug\*** Programme.exe

C:\Windows\system32\command#com

注意：這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統文件日期一樣就不能刪，當然系統文件肯定不是這段時間的。

C:\Windows\system32\msconfig#com

C:\Windows\system32\regedit#com

C:\Windows\system32\dxdiag#com

C:\Windows\system32\rundll32#com

C:\Windows\system32\finder#com

C:\Windows\system32\a.exe

對了，看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啓動了，包括雙擊磁盤！

還有一個頭號文件：WINLOGON.EXE。做了這麼多工作目的就是要幹掉它。

C:\Windows\WINLOGON.EXE

這個在進程裏可以看得到，有兩個，一個是真的，一個是假的。

真的是小寫winlogon.exe，用户名是SYSTEM，

而假的是大寫的WINLOGON.EXE，用户名是你自己的用户名。

這個文件在進程裏是中止不了的，説是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會呆在你的進程裏！看一下其中一個文件的修改日期，然後用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的，連系統還原夾裏都有！！ 這些文件會自己關聯的，要是你刪了一部分，不小心運行了一個，或在開始－運行裏運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來。

知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件裏頭的WINDOWS資源管理器，並在上面的工具裏頭的文件夾選項裏頭的查看裏設置顯示所有文件和文件夾，取消隱藏受保護操作系統文件，然後打開開始菜單的運行，輸入命令 regedit.exe，進註冊表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

裏面，有一個Torjan programme，這個明擺着“我是木馬”，刪掉。

接着註銷系統！重新進入系統後，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。到D盤（注意不要雙擊進入，否則又會激活這個病毒）右鍵，選“打開”，把autorun.inf和pagefile#com刪掉，再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中任意一個文件，否則所有步驟都要重新來過！ 然後再註銷系統。

把那些文件刪掉後，所有的exe文件全都打不開了，運行cmd.exe也不行。

解決辦法是，到C:\Windows\system32 裏，把cmd.exe文件複製出來，比如到桌面，改名成cmd#com，然後雙擊這個COM文件，可以進入到DOS下的命令提示符。

輸入如下命令：

assoc .exe=exefile （assoc與.exe之間有空格）

ftype exefile="%1" %*

這樣exe文件就可以運行了。如果不會打命令，只要打開CMD#COM後複製上面的兩行分兩次粘貼上去執行就可以了。

但在弄完這些之後，在開機的進入用户時會有些慢，並會跳出一個警告框，説文件"1"找不到，最後用上網助手之類的軟件全面修復IE設置。

在運行程序中運行“regedit”，打開註冊表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"

下面講述如何恢復被篡改後的.EXE文件修復工作。一定是某個軟件甚至可能是病毒把擴展名為EXE的文件關聯刪除或修改了，因此按照前面對話框的提示從控制面板中執行“文件夾選項”命令，選擇“文件類型”標籤，在“已註冊的文件類型”列表中找不到擴展名EXE和它的文件關聯。試着按[新建]按鈕，在“文件擴展名”後輸入“.exe”，按[高級]按鈕，系統自動將其文件類型定義為“應用程序”，按[確定]按鈕後在“已註冊的文件類型”列表中出現了擴展名“EXE”，選擇它後按[更改]按鈕，系統要求選擇要使用的程序，可是到底要選擇什麼應用程序來打開EXE文件？看來這個方法無效，只好按[取消]按鈕返回“文件夾選項”對話框。

由於以前我從沒聽説要為擴展名為“.exe”的文件建立文件關聯，所以在“已註冊的文件類型”列表中選擇“EXE應用程序”，並按[刪除]按鈕將它刪除。由於所有EXE文件都不能執行，所以也無法用註冊表編輯器(因為我只能運行Regedit.exe或Regedit32.exe來打開註冊表編輯器)來修改註冊表，看來只好重新啓動計算機了。在出現“正在啓動Windows…”時按[F8]鍵，出現“Windows 2000高級選項菜單”，選其中的“最後一次正確的配置”，進入Windows 2000時仍然報錯。只好再次重新啓動，這次選“安全模式”，雖然沒有報錯，但仍不能運行EXE文件。再試試“帶命令行提示的安全模式”選項，啓動成功後在命令提示符窗口的命令行輸入：help| more(“|”是管道符號，在鍵盤上位於Backspace鍵左邊)，在系統顯示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC顯示或修改文件擴展名關聯”，按任意鍵繼續查看，又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”，大意是“FTYPE顯示或修改用在文件擴展名關聯中的文件類型”，原來在命令提示符窗口還隱藏着這兩個特殊命令，可以用來設置文件擴展名關聯。於是，在命令行分別輸入“help assoc”和“help ftype”兩個命令獲取了它們的使用方法接着通過下面的設置，終於解決了EXE文件不能運行的故障。故障解決先在命令行command輸入：assoc .exe來顯示EXE文件關聯，系統顯示“沒有為擴展名.exe找到文件關聯”，難怪EXE文件都不能執行。接着輸入：ftype | more來分屏顯示系統中所有的文件類型，其中有一行顯示為“exefile="%1" %*”，只要將EXE文件與“exefile”關聯，故障就會解決。所以在命令行輸入：assoc .exe=exefile(assoc與.exe之間有一空格)，屏幕顯示“.exe=exefile”。關閉命令提示符窗口，按[Ctrl+Alt+Del]組合鍵調出“Windows安全”窗口，按[關機]按鈕後選擇“重新啓動”選項，按正常模式啓動Windows 2000後，所有的EXE文件都能正常運行了。

利用regedit#com的方法應該是最行之有效的辦法：

1、修改regedit.exe 為 regedit#com。

2、 把HKEY_CLASSES_ROOT\exefile\shell\open\command下的default鍵值改為"%1" %。

winlogon.exe應用程序錯誤主要是輸入法軟件注入winlogon所導致的藍屏。國內windows XP仍有很多，用户可將騰訊電腦管家升級至8.2.9749.224版本，並打開騰訊電腦管家電腦診所，搜索“winlogon.exe”，找到相關問題，點擊一鍵修復即可完成。

2010年8月24日，安裝了小紅傘殺毒軟件當天升級包的網友紛紛表示，小紅傘將其識別為特洛伊木馬，命名為TR/Patched#AG Trojan，如果用户選擇刪除的話，系統重啓後可能會無法正常開機。經眾多網友分析，此乃小紅傘誤報，並非本詞條中所提及的落雪病毒，請大家放心，下面提供臨時解決方法，等待官方發佈補丁包！

臨時解決方法：打開小紅傘 配置(configuration)-勾選專家模式（expert mode），然後在掃描（scan）裏面找到設置選項，裏面有exception（例外），將winlogon.exe設為排除。待小紅傘官方修復後再修改回來。