提起Winlogon，許多WinXP用戶可能都不知道，但是大家卻經(jīng)常用到它!當你按下Ctrl+Alt+Del時，Winlogon就激活了，此時你會看到一個Windows安全窗口，窗口中顯示當前登陸帳號和登陸時間，還有“鎖定計算機”、“注銷”、“關(guān)機”、“更改密碼”、“任務(wù)管理器”等按鈕。

　　一、Winlogon是什么?

　　Winlogon.exe是Windows xp登錄管理器，位于C:/Windows/System32目錄下，主要用于管理XP用戶的登錄和退出，處理用戶登錄和注銷任務(wù)。

　　當你按Ctrl+Alt+Del然后選擇“任務(wù)管理器”，在進程列表中即可看到Winlogon.exe(圖1)進程，其占用空間大小是動態(tài)變化的──與用戶登錄的時間有關(guān)。如果你登錄XP系統(tǒng)一個小時左右，該進程將會占用1.2MB～8.5MB內(nèi)存空間。

圖 1

　　二、檢查你的Winlogon.exe是否正常?

　　由于Winlogon.exe是系統(tǒng)啟動必需的進程、非常重要，所以目前很多木馬程序都盯上了它!例如國產(chǎn)木馬程序中有個叫PcShare的，當你感染它之后，它就會自動把自己的進程插入到Winlogon.exe進程中;以后一旦你啟動系統(tǒng)，PcShare就會隨Winlogon.exe一起運行，而且還能躲過大部分網(wǎng)絡(luò)防火墻的攔截。

　　正因為Winlogon.exe特別容易染上病毒和木馬，所以關(guān)注Winlogon.exe是否染毒就很有必要了，那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點來考察：

　　1、檢查Winlogon.exe的名稱與路徑

　　與其他系統(tǒng)進程(如SMSS.EXE、LSASS.EXE、CSrss.EXE 等)一樣，Winlogon.exe的名稱也是不區(qū)分大小寫的，假如你在任務(wù)管理器中發(fā)現(xiàn)，Winlogon.exe有時是大寫、有時又是小寫，這也是正常的!不過你可要仔細檢查，其名稱中那個“O”到底是字母O、還是數(shù)字0?如果是數(shù)字0，Winlog0n.exe肯定就是病毒啦!

　　其次還要檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應(yīng)該位于C:/Windows/System32目錄下、并且是以 SYSTEM 用戶運行的。如果你在任務(wù)管理器中發(fā)現(xiàn)它是以非SYSTEM 用戶運行的，或者其所在路徑是%Windows%，那么這個Winlogon.exe肯定也染上病毒了!

　　2、Winlogon.exe不會自動要求連接網(wǎng)絡(luò)

　　Winlogon.exe是一個本地進程，所以它是絕對不會自動要求連接網(wǎng)絡(luò)的!假如你啟動TCPView2.4(下載地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml)，發(fā)現(xiàn)在進程列表中(圖2)有Winlogon.exe進程打開某端口監(jiān)聽、要求連接網(wǎng)絡(luò)，那么這個Winlogon.exe肯定是被木馬程序劫持了，應(yīng)該盡快清除之。

圖 2

　　另外建議你運行一下軟件Auto runs(下載地址http://www.mydown.com/soft/18/18943.html)，然后選擇Winlogon.exe，檢查它啟動了哪些文件。正常情況下，Winlogon.exe應(yīng)該啟動了1個執(zhí)行文件logonui.exe和6個dll文件，具體名稱如下(如圖3)，如果不是這些文件，就非常可疑了!

圖 3

　　三、與Winlogon相關(guān)的“落雪”病毒

　　前段時間，網(wǎng)上曾爆發(fā)過WINLOGON病毒，給大家造成了很大的麻煩和損失。WINLOGON病毒中文名叫“落雪”，是一種專門盜取“傳奇世界”、“魔獸世界”、“QQ”及網(wǎng)銀等帳號密碼的病毒。它不僅盜竊密碼，而且還能免殺、自動關(guān)閉殺毒軟件及木馬克星，中了該病毒后你會發(fā)現(xiàn)：

　　雙擊“我的電腦”/盤符無法打開、或出現(xiàn)自動播放，大量的文件關(guān)聯(lián)被修改;打開任務(wù)管理器，出現(xiàn)2個WINLOGON.exe進程，其中winlogon.exe是原進程，而WINLOGON.exe(路徑為c:/windows/winlogon.exe)則是木馬的主程序(為盜號馬)，你無法結(jié)束該進程。另外，在D盤下還會多出2個文件autorun.inf和pagefile.com;C盤中將生成如下15個病毒文件：

　　C:/Windows/WINLOGON.EXE

　　C:/PRogram Files/Internet Explorer/iexplore.com

　　C:/Program Files/Common Files/iexplore.com

　　C:/WINDOWS/1.com

　　C:/WINDOWS/iexplore.com

　　C:/WINDOWS/finder.com

　　C:/WINDOWS/Exeroud.exe

　　C:/WINDOWS/Debug/Debug Programme.exe

　　C:/Windows/system32/command.com

　　C:/Windows/system32/msconfig.com

　　C:/Windows/system32/regedit.com

　　C:/Windows/system32/dxdiag.com

　　C:/Windows/system32/rundll32.com

　　C:/Windows/system32/finder.com

　　C:/Windows/system32/a.exe

　　為了清除落雪病毒，建議你將殺毒軟件病毒庫升級到最新，然后再用殺毒軟件去剿殺;或者手工清除，方法如下：

　　1、終止WINLOGON.EXE

　　利用進程殺手prockiller2.7，或者Procexp先結(jié)束這個進程(注意不要結(jié)束小寫的winlogon.exe);然后進入注冊表，刪除HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/Torjan ragramme

　　2、刪除染毒文件

　　刪除 C:/Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再打開注冊表，清除 AOL instant messenger 7.0 服務(wù)，即位于注冊表 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services] 下的 aol7.0 鍵。

　　接下來右擊D盤(不要雙擊，免得激活病毒)，選“打開”，刪除autorun.inf和pagefile.com;進入C盤，刪除上面所列的15個文件!

　　3、恢復(fù)文件關(guān)聯(lián)

　　用SRE恢復(fù)文件關(guān)聯(lián)。先將SREng.EXE的后綴改為.com，以便能夠運行SRE;在SRE主窗口選擇“啟動項目”，在“注冊表”標簽中去掉木馬啟動項;然后點擊“系統(tǒng)修復(fù)”，進入“文件關(guān)聯(lián)”標簽，勾選“全選”(圖4)，點“修復(fù)”，即可恢復(fù)所有的文件關(guān)聯(lián)。

圖 4

　　如果你想手工修復(fù)文件關(guān)聯(lián)，可以這樣操作：到C:/Windows/system32中，把cmd.exe文件復(fù)制到桌面，然后改名成cmd.com，以便能運行之;啟動cmd.com進入DOS狀態(tài)，輸入以下命令來恢復(fù)exe的文件關(guān)聯(lián)：

　　assoc .exe=exefile回車

　　ftype exefile="%1" %*回車

　　重啟電腦后，exe文件即可運行了;不過再次進入系統(tǒng)后，會彈出“文件1找不到”的提示，因為1.com病毒文件早已被刪除了，為此你可以點擊“開始”/運行，輸入regedit打開注冊表，定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon把"Shell"="Explorer.exe 1"恢復(fù)為"Shell"="Explorer.exe" 便大功告成!