Knowhow

Winlogon.exe進程介紹
正常情況下：winlogon.exe是一個實現Window登陸管理，處理用戶登陸和登出Windows的進程。每次當你被系統提示輸入用戶名和密碼的時候，你就能看到這個進程。它還負責在用戶登陸后載入用戶的信息，支持自動登陸(相關的)，以及監視鍵盤和滑鼠的操作，來決定何時顯示出屏保。該進程的正常路徑應是 C:\Windows\System32 且是以 SYSTEM 用戶運行。
非正常情況：若不是以上路徑且不以 SYSTEM 用戶運行，則可能是 W32.Netsky.D@mm 蠕蟲病毒。該病毒通過 EMail 郵件傳播，當你打開病毒發送的附件時，即會被感染。該病毒會創建 S M T P 引擎在受害者的計算機上，群發郵件進行傳播。
Winlogon.exe病毒的威害
如果你發現你的系統程序裡面有一個大寫的WINLOGON.EXE，一個小寫winlogon.exe，那麼恭喜你，你中了落雪病毒。大寫的WINLOGON.EXE就是病毒文件，落雪木馬也叫遊戲大盜，由VB程序語言編寫，通過nSPack3.1加殼處理（即通常所說的北斗殼NorthStar），該木馬文件圖標一般是紅色的圖案，偽裝成網路遊戲的登陸器。落雪病毒運行后，在C盤programfile以及windows目錄下生成：
C:\windows\winlogon.exe；
C:\WINDOWS.com；
C:\WINDOWS\ExERoute.exe；
C:\WINDOWS\iexplore.com；
C:\WINDOWS\finder.com；
C:\WINDOWS\system32\command.pif；
C:\Windows\system32\command.com；
C:\WINDOWS\system32\dxdiag.com；
C:\WINDOWS\system32\finder.com；
C:\WINDOWS\system32\MSCONFIG.COM；
C:\WINDOWS\system32\regedit.com；
C:\WINDOWS\system32\rundll32.com；
C:\Windows\WINLOGON.EXE；
C:\WINDOWS\services.exe；
C:\WINDOWS\Debug\DebugProgramme.exe等多個病毒文件，病毒文件之多比較少見，事實上這14個不同文件名的病毒文件系同一種文件，落雪之名亦可能由此而來。
病毒文件名被模擬成正常的系統工具名稱，但是文件擴展名變成了.com。這是病毒利用了Windows操作系統執行.com文件的優先順序比EXE文件高的特性，這樣，當用戶調用系統配置文件Msconfig.exe的時候，一般習慣上輸入Msconfig，而這是執行的並不是微軟的Msconfig.exe程序，而是病毒文件Msconfig.com，落雪病毒作者的良苦用心由此可見。
病毒另一狡詐之處還有，病毒還創建一名為winlogon.exe的進程，並把winlogon.exe的路徑指向c:\windows\WINLOGON.EXE，而正常的系統進程路徑是C:\WINDOWS\system32\winlogon.exe，以此達到迷惑用戶的目的。
除了在C盤下生成很多病毒文件外，病毒還修改註冊表文件關聯，每當用戶點擊html文件時，都會運行病毒。
此外，病毒還在其他盤下生成一個autorun.inf和一個pagefile.com的文件自動運行批處理文件，這樣即使C盤目錄下的病毒文件被清除，當用戶打開D盤時，病毒仍然被激活運行。這也是許多用戶反映病毒屢殺不絕的原因。
清除Winlogon.exe病毒的方法
手工清除該病毒：
先結束病毒進程 winlogon.exe
然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件
再清除 AOL instant messenger 7.0 服務，位於註冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
軟體查殺：
建議使用 Security Task Manager 來檢查電腦的安全狀況，以便進一步查看 winlogon.exe 進程是否真的有害。
如果手動沒有完全刪除掉，可下載江民落雪病毒專殺工具：WINLOGON.EXE江民落雪病毒專殺工具
提示
WINLOGON.EXE進程正常的winlogon系統進程，其用戶名為「SYSTEM」 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然後選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為「SYSTEM」。如果出現了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統用戶的話，表明可能存在木馬。