Windows Logon Process，Windows NT 用戶登陸程序，管理用戶登錄和退出。該進程的正常路徑應(yīng)是 C:\Windows\System32 且是以 SYSTEM 用戶運行，若不是以上路徑且不以 SYSTEM 用戶運行，則可能是 W32.Netsky.D@mm 蠕蟲病毒，該病毒通過 EMail 郵件傳播，當(dāng)你打開病毒發(fā)送的附件時，即會被感染。

文件信息

軟件大?。?67KB
軟件星級：2.5
軟件語言：中文簡體
開 發(fā) 商：HOMEPAGE
軟件類別：國產(chǎn)軟件
軟件授權(quán)：免費版本
更新時間：2010-02-0814:35:36
應(yīng)用平臺：9x/XP/2K/Vista[1]

進程信息

進程文件： winlogon or winlogon.exe
進程名稱： Microsoft Windows Logon Process
描述：
該病毒會創(chuàng)建 SMTP 引擎在受害者的計算機上，群發(fā)郵件進行傳播。手工清除該病毒時先結(jié)束病毒進程 winlogon.exe，然后刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服務(wù)，位于注冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
出品者： Microsoft Corp.
屬于： Microsoft Windows Operating System
系統(tǒng)進程： 是
后臺程序： 是
使用網(wǎng)絡(luò)： 否
硬件相關(guān)： 否
常見錯誤： 目前未知
內(nèi)存使用： 目前未知
安全等級 (0-5): 0
間諜軟件： 否
Adware: 否
病毒： 否
木馬： 否

檢查Winlogon.exe是否正常

由于Winlogon.exe是系統(tǒng)啟動必需的進程、非常重要，所以目前很多木馬程序都盯上了它!例如國產(chǎn)木馬程序中有個叫PcShare的，當(dāng)你感染它之后，它就會自動把自己的進程插入到Winlogon.exe進程中;以后一旦你啟動系統(tǒng)，PcShare就會隨Winlogon.exe一起運行，而且還能躲過大部分網(wǎng)絡(luò)防火墻的攔截。
正因為Winlogon.exe特別容易染上病毒和木馬，所以關(guān)注Winlogon.exe是否染毒就很有必要了，那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點來考察：
檢查Winlogon.exe的名稱與路徑
與其他系統(tǒng)進程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣，Winlogon.exe的名稱也是不區(qū)分大小寫的，假如你在任務(wù)管理器中發(fā)現(xiàn)，Winlogon.exe有時是大寫、有時又是小寫，這也是正常的!不過你可要仔細檢查，其名稱中那個“O”到底是字母O、還是數(shù)字0?如果是數(shù)字0，Winlog0n.exe肯定就是病毒啦!
其次還要檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應(yīng)該位于C:\Windows\System32目錄下、并且是以 SYSTEM 用戶運行的。如果你在任務(wù)管理器中發(fā)現(xiàn)它是以非SYSTEM 用戶運行的，或者其所在路徑是%Windows%，那么這個Winlogon.exe肯定也染上病毒了!
Winlogon.exe不會自動要求連接網(wǎng)絡(luò)
Winlogon.exe是一個本地進程，所以它是絕對不會自動要求連接網(wǎng)絡(luò)的!假如你啟動TCPView2.4，[2]發(fā)現(xiàn)在進程列表中有Winlogon.exe進程打開某端口監(jiān)聽、要求連接網(wǎng)絡(luò)，那么這個Winlogon.exe肯定是被木馬程序劫持了，應(yīng)該盡快清除之。
另外建議你運行一下軟件Auto runs，然后選擇Winlogon.exe，檢查它啟動了哪些文件。正常情況下，Winlogon.exe應(yīng)該啟動了1個執(zhí)行文件logonui.exe和6個dll文件，具體名稱如下，如果不是這些文件，就非?？梢闪?

經(jīng)案例

最近出現(xiàn)一個名為“落雪”的病毒，這個病毒非常厲害，能破壞木馬克星，使其不能正常運行。它由VB 程序語言編寫，通過北斗殼加殼處理，該木馬文件圖標(biāo)一般是紅色的圖案，偽裝成網(wǎng)絡(luò)游戲的登錄器。病毒運行后，在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個病毒文件，病毒文件之多比較少見。事實上這14個不同文件名的病毒文件系同一種文件，“落雪”之名亦可能由此而來。該木馬另一狡詐之處就是創(chuàng)建一名為winlogon.exe的進程，并把其路徑指向c:\windows\winlogon.exe（正常的系統(tǒng)進程路徑是C:\WINDOWS\system32\ winlogon.exe），以此達到迷惑用戶的目的。

不可或缺的Winlogon

悟空問道：“教授，今天我們學(xué)習(xí)哪個進程啊？”譚教授：“悟空，你每天啟動操作系統(tǒng)的時候，有沒有想過系統(tǒng)的啟動和哪些進程有關(guān)呢？”看著悟空抓耳撓腮的樣子，譚教授明白他一定是沒有注意到，于是說：“今天我們就來講解一下這個和系統(tǒng)啟動相關(guān)的進程——Winlogon.exe。”

小知識：Winlogon.exe是Windows NT登錄管理器。它用于處理用戶系統(tǒng)的登錄和登錄過程，并且管理用戶的登錄和退出。Winlogon在用戶按下Ctrl+Alt+Del時就激活了，顯示安全對話框。該進程在用戶系統(tǒng)中的作用是非常重要的。

看完前面的介紹，經(jīng)常玩游戲的八戒說道：“通過這幾期的學(xué)習(xí)后我發(fā)現(xiàn)，這些高危的進程常常被病毒、木馬、后門所利用。木馬文件名都模擬成正常的系統(tǒng)工具名稱，但是文件擴展名變成了‘.com’，為什么會這樣呢？”

譚教授解釋道：“是因為Windows操作系統(tǒng)執(zhí)行.com文件的優(yōu)先級比.exe文件高的特性。比如木馬命名為Regedit.com，當(dāng)用戶調(diào)用注冊表編輯器Regedit.exe的時候，一般習(xí)慣輸入Regedit，而這時執(zhí)行的并不是微軟的Regedit.exe程序，而是木馬文件Regedit.com，由此也可以看出木馬作者的‘用心良苦’。”
悟空馬上接茬：“怪不得注冊表被加密后，人們將Regedit.exe改為Regedit.com就可以解密了。”譚教授對悟空的表現(xiàn)感到非常的欣慰。

突然悟空又撓著頭說道：“通過前面幾期的講解，我已經(jīng)對這些病毒、木馬迷惑用戶的方法略知一二。那么除了通過相似的名稱，以及改變原有路徑來進行以假亂真以外，我常常聽網(wǎng)友說通過進程名稱的大小寫也可以進行分辨？”

“這個我也經(jīng)常聽說，但是我覺得這樣分辨不科學(xué)，因為進程名稱的大小寫是根據(jù)文件名稱的大小寫來決定的。”譚教授解釋道。