winlogon.exe病毒介绍以及清楚查杀方法

winlogon.exe正常进程信息：

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马： 否

感染后的winlogon.exe病毒进程：

winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

如果你发现你的系统程序里面有一个大写的WINLOGON.EXE，一个小写winlogon.exe，那么恭喜你，你中了“落雪”病毒.大写的 WINLOGON.EXE就是病毒文件,“落雪”木马也叫“游戏大盗”(Trojan/PSW.GamePass），由VB程序语言编写，通过 nSPack3.1加壳处理（即通常所说的“北斗壳”NorthStar），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。

winlogon.exe病毒感染情况分析：

落雪病毒运行后，在C盘programfile以及windows目录下生成

    C:windowswinlogon.exe

    C:WINDOWS.com

    C:WINDOWSExERoute.exe

    C:WINDOWSiexplore.com

    C:WINDOWSfinder.com

    C:WINDOWSsystem32command.pif

    C:Windowssystem32command.com

    C:WINDOWSsystem32dxdiag.com

    C:WINDOWSsystem32finder.com

    C:WINDOWSsystem32MSCONFIG.COM

    C:WINDOWSsystem32regedit.com

    C:WINDOWSsystem32rundll32.com

    C:WindowsWINLOGON.EXE

    C:WINDOWSservices.exe

    C:WINDOWSDebugDebugProgramme.exe

等多个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了.com。这是病毒利用了Windows *** 作系统 执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com，落雪病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe的路径指向c:windowsWINLOGON.EXE，而正常的系统进程路径是 C:WINDOWSsystem32winlogon.exe，以此达到迷惑用户的目的。

除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在其他盘下生成一个 autorun.inf和一个pagefile.com的文件自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

winlogon.exe病毒手动查杀方案：

WINLOGON.EXE病毒，近来在网络很流行，许多朋友都中了，许多杀毒软件能查到，但是无论如何都无法清除。

不知道什么原因，这个病毒的中文译名叫做“落雪”，又叫“飘雪”，很美吧？

我检查了一下，发现进程里多出一个大写的WINLOGON，是在winnt或windows目录下的，而正常情况下，这个进程应该是在winnt或 windows/system32目录下的，此进程不言而知。注册表下的启动项，里面有个Torjan pragramme的启动项目，不能彻底删除。

以下是删除的 方法 ：

这个进程WINLOGON.EXE的用户名是用户自己，因此不可能是正常的系统进程，正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星等许多著名的杀毒软件，使其不能正常运行，就算能正常运行，也会错误杀毒或查毒。目前使用其他杀毒软件未能杀死。但是很明显，人工也可以看出，那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家用鼠标右键【打开】，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，这些当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都不能删死，只要运行任何程序，或者双击打开D盘，她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个解除的传家宝了。

我分析了一下这个木马的资料，连接是通向河南和天津的某一地区，看来是国内的。而且她很有趣，如果你机子上有传奇等游戏，必然惹来她的亲吻，那么说QQ之类的帐号密码会不会被泄漏，这个不清楚，但起码我有些朋友已经被盗了。

解决“落雪”病毒的方法

症状：D盘双击打不开，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系统的运作，因此此两个文件难以删除，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘很多相关文件程序

D:autorun.inf

D:pagefile.com

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe（传奇的图标，很漂亮）

C:WINDOWSDebug*** Programme.exe（也是上面那个图标，名字每台机子都不同，但是明显是非隐藏的）

C:Windowssystem32command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

值得注意的是：看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘，还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要离开她的亲吻！

C:WindowsWINLOGON.EXE

这个在进程里明显可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会

呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护 *** 作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选【打开】，把autorun.inf和pagefile.com删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

打开我的电脑点工具==>文件夹选项==>文件类型==>新建exe扩展名，点高级选应用程序。

即可运行

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用System Repair Engineer看情况 修理 一下系统的启动项、系统关联等。

最后说一下怎么解决开机提示找不到文件“1.com”的方法：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 当然这也是启动项罢了。

杀毒软件查杀winlogon.exe病毒方法：

请更新你的杀毒软件病毒库到最新版本进行查杀

vb做的飘雪桌面

在窗体中加两个timer

代码如下：

'虫虫青摘自己互联网

Option Explicit

'源代码

Private Declare Function GetDC Lib "user32" (ByVal hwnd As Long) As Long

'GetDC()功能是获取指定窗体的设备场景的句柄(hDC),用参数0则可以获取整个屏幕的场景句柄

Private Declare Function GetPixel Lib "gdi32" (ByVal hdc As Long, ByVal x As Long, ByVal y As Long) As Long

'GetPixel用于取得场景(这里是整个屏幕)中某点的颜色值

Private Declare Function SetPixel Lib "gdi32" (ByVal hdc As Long, ByVal x As Long, ByVal y As Long, ByVal crColor As Long) As Long

'SetPixel用于设置场景(这里是整个屏幕)中某点的颜色值

Private Declare Function ReleaseDC Lib "user32" (ByVal hwnd As Long, ByVal hdc As Long) As Long

'释放由GetDC()获取的设备场景句柄，否则可能造成系统锁死

Private Declare Function InvalidateRect&Lib "user32" (ByVal hwnd As Long, lpRect As RECT, ByVal bErase As Long)

'清理窗口雪花

Private Type POINTAPI '定义坐标点结构

x As Long

y As Long

End Type

Private Type RECT '定义“区域”数据结构，但实际上并没有用到，因为仅需在函数InvalidateRect中传递一个空的RECT参数

left As Long

top As Long

right As Long

bottom As Long

End Type

Dim rect1 As RECT

Private Const ScrnWidth = 1024 '屏幕宽度(单位:像素)

Private Const ScrnHight = 768 '屏幕高度(单位:像素)

Private Const SnowCol = &HFEFFFE '雪花颜色

Private Const SnowColDown = &HFFFFFF '积雪颜色

Private Const SnowColDuck = &HFFDDDD '深色积雪颜色

Private Const SnowNum = 500 '同一时间飘动的雪花数量

Dim hDC1 As Long '存储桌面窗口设备句柄

Dim pData(SnowNum) As POINTAPI '存储每个雪花的位置信息

Dim pColor(SnowNum) As Long '存储画出雪花前屏幕原来的颜色

Dim Vx As Integer '雪花总体水平飘行速度

Dim Vy As Integer '雪花总体垂直下落速度

Dim PVx As Integer '单个雪花实际水平飘行速度

Dim PVy As Integer '单个雪花实际垂直飘行速度

'初始化雪花位置

Private Sub InitP(i As Integer)

pData(i).x = Rnd() * ScrnWidth

pData(i).y = Rnd() * 2

pColor(i) = GetPixel(hDC1, pData(i).x, pData(i).y) '取得屏幕原来的颜色值

End Sub

'取得某一点与周围点的对比度，确定是否在此位置堆积雪花

Private Function GetContrast(i As Integer) As Long

Dim ColorCmp As Long '存储用作对比的点的颜色值

Dim tempR As Long '存储CorlorCmp的红色部分，下同

Dim tempG As Long

Dim tempB As Long

Dim Slope As Integer '存储雪花飘落方向:Vx/Vy

'计算雪花飘落方向

If PVy <>0 Then

Slope = PVx / PVy

Else

Slope = 2

End If

'根据雪花飘落方向决定取哪一点作对比点，

'若PVx/PVy在-1到1之间，即Slope=0，就取正下面的象素点

'若PVx/PVy>1，取右下方的点，PVx/PVy<-1则取左下方

If Slope = 0 Then

ColorCmp = GetPixel(hDC1, pData(i).x, pData(i).y + 1)

Else

If Slope >1 Then

ColorCmp = GetPixel(hDC1, pData(i).x + 1, pData(i).y + 1)

Else

ColorCmp = GetPixel(hDC1, pData(i).x - 1, pData(i).y + 1)

End If

End If

'确定当前位置没有与另一个雪花重叠，否则返回0，用于防止由于不同雪花重叠造成雪花乱堆

If ColorCmp = SnowCol Then

GetContrast = 0

Exit Function

End If

'分别获取ColorCmp与对比点的蓝、绿、红部分的差值

tempB = Abs((ColorCmp And &HFF0000) - (pColor(i) And &HFF0000)) / &H10000

tempG = Abs((ColorCmp And &HFF00&) - (pColor(i) And &HFF00&)) / &H100&

tempR = Abs((ColorCmp And &HFF&) - (pColor(i) And &HFF&))

'返回对比度值

GetContrast = (tempR + tempG + tempB) / 3

End Function

'画出一帧，即重画所有雪花位置一次

Private Sub DrawP()

Dim i As Integer

For i = 0 To SnowNum

'防止雪花重叠造成干扰

If pColor(i) <>SnowCol Then

'还原上一个位置的颜色

SetPixel hDC1, pData(i).x, pData(i).y, pColor(i)

End If

'设置新的位置，i Mod 3用于将雪花分为三类采用不同速度，以便形成层次感

PVx = Rnd() * 2 - 1 + Vx * (i Mod 3)

PVy = Vy * (i Mod 3 + 1)

pData(i).x = pData(i).x + PVx

pData(i).y = pData(i).y + PVy

'取得新位置原始颜色值，用于下一步雪花飘过时恢复此处颜色

pColor(i) = GetPixel(hDC1, pData(i).x, pData(i).y)

'如果获取颜色失败，表明雪花已飘出屏幕，重新初始化

If pColor(i) = -1 Then

InitP i

Else

'否则若雪花没有重叠

If pColor(i) <>SnowCol Then

'若对比度较小(即不能堆积),就画出雪花

'Rnd()>0.3用于防止某些连续而明显的边界截获所有雪花

If Rnd() >0.3 Or GetContrast(i) <50 Then

SetPixel hDC1, pData(i).x, pData(i).y, SnowCol

'否则表明找到明显的边界，画出堆积的雪，并初始化以便画新的雪花

Else

SetPixel hDC1, pData(i).x, pData(i).y - 1, SnowColDuck

SetPixel hDC1, pData(i).x - 1, pData(i).y, SnowColDuck

SetPixel hDC1, pData(i).x + 1, pData(i).y, SnowColDown

InitP i

End If

End If

End If

Next

End Sub

Private Sub Form_Load()

Dim j As Integer

Me.Caption = "桌面飘雪" '设置窗口标题

'设置计时器，Timer1用于画单帧，Timer2用于风向变化

Timer1.Enabled = True

Timer1.Interval = 10

Timer2.Enabled = True

Timer2.Interval = 2000

Randomize '初始化随机数种子

hDC1 = GetDC(0) '获取桌面窗口设备场景句柄

'初始化整个屏幕

For j = 0 To SnowNum

pData(j).x = Rnd() * ScrnWidth

pData(j).y = Rnd() * ScrnHight

pColor(j) = GetPixel(hDC1, pData(j).x, pData(j).y)

Next

End Sub

Private Sub Form_Unload(Cancel As Integer)

ReleaseDC 0, hDC1 '释放桌面窗口设备句柄

InvalidateRect 0, rect1, 0 '清除所有雪花，恢复桌面

End Sub

Private Sub Timer1_Timer()

DrawP '画出一帧

End Sub

Private Sub Timer2_Timer()

'改变风向

Vx = Rnd() * 4 - 2

Vy = Rnd() + 2

End Sub

'完，最后，需要两个Timer：Timer1、Timer2。

Private sub form1_load(省略）

Dim i As Integer

For i=0 To 99

Randomize()

s(i)=New snowflakes(Rnd()*Me.width,Rnd()*Me.Height)

Next

End Sub

Private sub timer1_tick（省略）

Me.Refresh()

pen1=New pen(color.white,5)

g=Me.CreateGraphics

For i=0 to 99

g.DrawEllipse(pen1,s(i).x,s(i).y,1,1)

s(i).down(10)

If s(i).x>=Me.width Then

s(i).x=Rnd()*20

End If

If s(i).y>=Me.Height Then

s(i).y=Rnd()*10

End If

---