winlogon

作為一個系統核心進程，Winlogon.exe進程已被很多病毒盯上，國內外安全廠商已經截獲很多類似病毒，感染情況包括進程位置變化、資源佔用變化、錯誤提示等。若發生此類情況很有可能已被感染病毒。

該病毒會創建 SMTP 引擎在受害者的計算機上，群發郵件進行傳播。手工清除該病毒時先利用進程管理類程序（如冰刃、No.1進程管理器等，系統的任務管理器會將病毒的winlogon誤認為是系統關鍵進程從而無法結束）結束病毒進程 winlogon.exe，然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服務，位於註冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。

正常的winlogon系統進程，其用戶名為“SYSTEM”程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統用戶的話，表明可能存在木馬。這個木馬非常厲害，能破壞掉木馬剋星，使其不能正常運行。使用其他殺毒軟體查出難度大。

那個WINDOWS下的WINLOGON.EXE確實是病毒，打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，都是隱藏的，刪除沒用，因為關聯了很多東西，只要運行程序，或者雙擊打開D盤，就會重新自動安裝。

解決“落雪”病毒的方法

癥狀：D盤雙擊打不開，裡面有autorun.inf和pagefile#com文件

安全模式用Administrator解決無效，經過一個下午的奮戰才算勉強解決。手動一個一個的刪除。它所關聯的絕大多數都是顯示為系統文件和隱藏的。所以要在文件夾選項里打開顯示隱藏文件。

D盤裡就兩個，搞得你無法雙擊打開D盤。C盤裡的就多了！

D:\autorun.inf

D:\pagefile#com

C:\Program Files\Internet Explorer\iexplore#com

C:\Program Files\Common Files\iexplore#com

C:\WINDOWS\1#com

C:\WINDOWS\iexplore#com

C:\WINDOWS\finder#com

C:\WINDOWS\Exeroud.exe

C:\WINDOWS\Debug\*** Programme.exe

C:\Windows\system32\command#com

注意：這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統文件日期一樣就不能刪，當然系統文件肯定不是這段時間的。

徠C:\Windows\system32\msconfig#com

C:\Windows\system32\regedit#com

C:\Windows\system32\dxdiag#com

C:\Windows\system32\rundll32#com

C:\Windows\system32\finder#com

C:\Windows\system32\a.exe

對了，看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁碟！

還有一個頭號文件！WINLOGON.EXE！做了這麼多工作目的就是要幹掉它！！！

C:\Windows\WINLOGON.EXE

這個在進程里可以看得到，有兩個，一個是真的，一個是假的。

真的是小寫winlogon.exe，用戶名是SYSTEM，

而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。

這個文件在進程里是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會呆在你的進程里！看一下其中一個文件的修改日期，然後用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的，連繫統還原夾里都有！！這些文件會自己關聯的，要是你刪了一部分，不小心運行了一個，或在開始－運行里運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來！

知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件裡頭的WINDOWS資源管理器，並在上面的工具裡頭的文件夾選項裡頭的查看里設置顯示所有文件和文件夾，取消隱藏受保護操作系統文件，然後打開開始菜單的運行，輸入命令 regedit，進註冊表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

裡面，有一個Torjan pragramme，這個明擺著“我是木馬”，刪！！

接著註銷系統！重新進入系統后，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。到D盤（注意不要雙擊進入！否則又會激活這個病毒）右鍵，選“打開”，把autorun.inf和pagefile#com刪掉，再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中任意一個文件，否則所有步驟都要重新來過！然後再註銷系統。

恢復文件

把那些文件刪掉后，所有的exe文件全都打不開了，運行cmd.exe也不行。

解決辦法是，到C:\Windows\system32 里，把cmd.exe文件複製出來，比如到桌面，改名成cmd#com，然後雙擊這個COM文件，可以進入到DOS下的命令提示符。

輸入如下命令：

assoc .exe=exefile （assoc與.exe之間有空格）

ftype exefile="%1" %*

這樣exe文件就可以運行了。如果不會打命令，只要打開CMD#COM后複製上面的兩行分兩次粘貼上去執行就可以了。

但在弄完這些之後，在開機的進入用戶時會有些慢，並會跳出一個警告框，說文件"1"找不到，最後用上網助手之類的軟體全面修復IE設置。

解決開機跳出找不到文件“1#com”

在運行程序中運行“regedit”，打開註冊表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"

若是還是無法執行.EXE文件

下面講述如何恢復被篡改后的.EXE文件修復工作。一定是某個軟體甚至可能是病毒把擴展名為EXE的文件關聯刪除或修改了，因此按照前面對話框的提示從控制面板中執行“文件夾選項”命令，選擇“文件類型”標籤，在“已註冊的文件類型”列表中找不到擴展名EXE和它的文件關聯。試著按[新建]按鈕，在“文件擴展名”后輸入“.exe”，按[高級]按鈕，系統自動將其文件類型定義為“應用程序”，按[確定]按鈕后在“已註冊的文件類型”列表中出現了擴展名“EXE”，選擇它后按[更改]按鈕，系統要求選擇要使用的程序，可是到底要選擇什麼應用程序來打開EXE文件？看來這個方法無效，只好按[取消]按鈕返回“文件夾選項”對話框。

由於以前我從沒聽說要為擴展名為“.exe”的文件建立文件關聯，所以在“已註冊的文件類型”列表中選擇“EXE應用程序”，並按[刪除]按鈕將它刪除。由於所有EXE文件都不能執行，所以也無法用註冊表編輯器(因為我只能運行Regedit.exe或Regedit32.exe來打開註冊表編輯器)來修改註冊表，看來只好重新啟動計算機了。在出現“正在啟動Windows…”時按[F8]鍵，出現“Windows 2000高級選項菜單”，選其中的“最後一次正確的配置”，進入Windows 2000時仍然報錯。只好再次重新啟動，這次選“安全模式”，雖然沒有報錯，但仍不能運行EXE文件。再試試“帶命令行提示的安全模式”選項，啟動成功后在命令提示符窗口的命令行輸入：help| more(“|”是管道符號，在鍵盤上位於Backspace鍵左邊)，在系統顯示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC顯示或修改文件擴展名關聯”，按任意鍵繼續查看，又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”，大意是“FTYPE顯示或修改用在文件擴展名關聯中的文件類型”，原來在命令提示符窗口還隱藏著這兩個特殊命令，可以用來設置文件擴展名關聯。於是，在命令行分別輸入“help assoc”和“help ftype”兩個命令獲取了它們的使用方法接著通過下面的設置，終於解決了EXE文件不能運行的故障。故障解決先在命令行command輸入：assoc .exe來顯示EXE文件關聯，系統顯示“沒有為擴展名.exe找到文件關聯”，難怪EXE文件都不能執行。接著輸入：ftype | more來分屏顯示系統中所有的文件類型，其中有一行顯示為“exefile="%1" %*”，只要將EXE文件與“exefile”關聯，故障就會解決。所以在命令行輸入：assoc .exe=exefile(assoc與.exe之間有一空格)，屏幕顯示“.exe=exefile”。關閉命令提示符窗口，按[Ctrl+Alt+Del]組合鍵調出“Windows安全”窗口，按[關機]按鈕后選擇“重新啟動”選項，按正常模式啟動Windows 2000后，所有的EXE文件都能正常運行了。

利用regedit#com的方法應該是最行之有效的辦法：

1、修改regedit.exe 為 regedit#com。

2、把HKEY_CLASSES_ROOT\exefile\shell\open\command下的default鍵值改為"%1" %。

winlogon.exe應用程序錯誤主要是輸入法軟體注入winlogon所導致的藍屏。國內windows XP仍有很多，用戶可將騰訊電腦管家升級至8.2.9749.224版本，並打開騰訊電腦管家電腦診所，搜索“winlogon.exe”，找到相關問題，點擊一鍵修復即可完成。

2010年8月24日，安裝了小紅傘殺毒軟體當天升級包的網友紛紛表示，小紅傘將其識別為特洛伊木馬，命名為TR/Patched#AG Trojan，如果用戶選擇刪除的話，系統重啟后可能會無法正常開機。經眾多網友分析，此乃小紅傘誤報，並非本詞條中所提及的落雪病毒，請大家放心，下面提供臨時解決方法，等待官方發布補丁包！

臨時解決方法：打開小紅傘 配置(configuration)-勾選專家模式（expert mode），然後在掃描（scan）裡面找到設置選項，裡面有exception（例外），將winlogon.exe設為排除。待小紅傘官方修復后再修改回來。