提起Winlogon，許多WinXP用戶可能都不知道，但是大家卻經常用到它!當你按下Ctrl+Alt+Del時，Winlogon就激活了，此時你會看到一個Windows安全窗口，窗口中顯示當前登陸帳號和登陸時間，還有“鎖定計算機”、“注銷”、“關機”、“更改密碼”、“任務管理器”等按鈕。

一、Winlogon是什么?

Winlogon.exe是Windows XP登錄管理器，位于C:WindowsSystem32目錄下，主要用于管理XP用戶的登錄和退出，處理用戶登錄和注銷任務。

當你按Ctrl+Alt+Del然后選擇“任務管理器”，在進程列表中即可看到Winlogon.exe(圖1)進程，其占用空間大小是動態變化的──與用戶登錄的時間有關。如果你登錄XP系統一個小時左右，該進程將會占用1.2MB～8.5MB內存空間。

圖 1

二、檢查你的Winlogon.exe是否正常?

由于Winlogon.exe是系統啟動必需的進程、非常重要，所以目前很多木馬程序都盯上了它!例如國產木馬程序中有個叫PcShare的，當你感染它之后，它就會自動把自己的進程插入到Winlogon.exe進程中;以后一旦你啟動系統，PcShare就會隨Winlogon.exe一起運行，而且還能躲過大部分網絡防火墻的攔截。

正因為Winlogon.exe特別容易染上病毒和木馬，所以關注Winlogon.exe是否染毒就很有必要了，那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點來考察：

1、檢查Winlogon.exe的名稱與路徑

與其他系統進程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣，Winlogon.exe的名稱也是不區分大小寫的，假如你在任務管理器中發現，Winlogon.exe有時是大寫、有時又是小寫，這也是正常的!不過你可要仔細檢查，其名稱中那個“O”到底是字母O、還是數字0?如果是數字0，Winlog0n.exe肯定就是病毒啦!

其次還要檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應該位于C:WindowsSystem32目錄下、并且是以 SYSTEM 用戶運行的。如果你在任務管理器中發現它是以非SYSTEM 用戶運行的，或者其所在路徑是%Windows%，那么這個Winlogon.exe肯定也染上病毒了!

2、Winlogon.exe不會自動要求連接網絡

Winlogon.exe是一個本地進程，所以它是絕對不會自動要求連接網絡的!假如你啟動TCPView2.4(下載地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml)，發現在進程列表中(圖2)有Winlogon.exe進程打開某端口監聽、要求連接網絡，那么這個Winlogon.exe肯定是被木馬程序劫持了，應該盡快清除之。

圖 2

另外建議你運行一下軟件Auto runs(下載地址http://www.mydown.com/soft/18/18943.html)，然后選擇Winlogon.exe，檢查它啟動了哪些文件。正常情況下，Winlogon.exe應該啟動了1個執行文件logonui.exe和6個dll文件，具體名稱如下(如圖3)，如果不是這些文件，就非常可疑了!

圖 3

三、與Winlogon相關的“落雪”病毒

前段時間，網上曾爆發過WINLOGON病毒，給大家造成了很大的麻煩和損失。WINLOGON病毒中文名叫“落雪”，是一種專門盜取“傳奇世界”、“魔獸世界”、“QQ”及網銀等帳號密碼的病毒。它不僅盜竊密碼，而且還能免殺、自動關閉殺毒軟件及木馬克星，中了該病毒后你會發現：

雙擊“我的電腦”/盤符無法打開、或出現自動播放，大量的文件關聯被修改;打開任務管理器，出現2個WINLOGON.exe進程，其中winlogon.exe是原進程，而WINLOGON.exe(路徑為c:windowswinlogon.exe)則是木馬的主程序(為盜號馬)，你無法結束該進程。另外，在D盤下還會多出2個文件autorun.inf和pagefile.com;C盤中將生成如下15個病毒文件：

C:WindowsWINLOGON.EXE

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS1.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe

C:WINDOWSDebugDebug Programme.exe

C:Windowssystem32command.com

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

為了清除落雪病毒，建議你將殺毒軟件病毒庫升級到最新，然后再用殺毒軟件去剿殺;或者手工清除，方法如下：

1、終止WINLOGON.EXE

利用進程殺手prockiller2.7，或者Procexp先結束這個進程(注意不要結束小寫的winlogon.exe);然后進入注冊表，刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunTorjan ragramme

2、刪除染毒文件

刪除 C:Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再打開注冊表，清除 AOL instant messenger 7.0 服務，即位于注冊表 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices] 下的 aol7.0 鍵。

接下來右擊D盤(不要雙擊，免得激活病毒)，選“打開”，刪除autorun.inf和pagefile.com;進入C盤，刪除上面所列的15個文件!

3、恢復文件關聯

用SRE恢復文件關聯。先將SREng.EXE的后綴改為.com，以便能夠運行SRE;在SRE主窗口選擇“啟動項目”，在“注冊表”標簽中去掉木馬啟動項;然后點擊“系統修復”，進入“文件關聯”標簽，勾選“全選”(圖4)，點“修復”，即可恢復所有的文件關聯。

圖 4

如果你想手工修復文件關聯，可以這樣操作：到C:Windowssystem32中，把cmd.exe文件復制到桌面，然后改名成cmd.com，以便能運行之;啟動cmd.com進入DOS狀態，輸入以下命令來恢復exe的文件關聯：

assoc .exe=exefile回車

ftype exefile='%1' %*回車

重啟電腦后，exe文件即可運行了;不過再次進入系統后，會彈出“文件1找不到”的提示，因為1.com病毒文件早已被刪除了，為此你可以點擊“開始”/運行，輸入regedit打開注冊表，定位到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon把'Shell'='Explorer.exe 1'恢復為'Shell'='Explorer.exe' 便大功告成!