本文目录一览:
- 1、请问winlog.exe是否是病毒?是的话怎么杀?谢谢
- 2、为什么电脑一开机就出现了winlog.exe
- 3、有一个病毒名称叫winlog.exe,只感染U盘,会在U盘里出现一个回收站,格式化都不行,求杀!
- 4、求救啊,我中了WINLOGON.EXE木马
- 5、winlogn.exe这个系统进程可以关闭吗?
- 6、键盘记录器是病毒是怎么入侵的
请问winlog.exe是否是病毒?是的话怎么杀?谢谢
winlog.exe是Salfeld个人 *** 安全工具,用于保护你的计算机免受安全威胁。注意winlog.exe也可能是W32.Agobot.LF病毒程序。该病毒利用Windows LSASS漏洞,制造缓冲区溢出,导致你的计算机崩溃。注意:winlog.exe也可能是记录操作的恶意程序。
winlog.exe - winlog - 进程管理信息
进程文件: winlog or winlog.exe
进程名称: Salfeld Personal Security Manager
进程类别:存在安全风险的进程
英文描述:
winlog.exe is a process belonging to the Salfeld Personal Security tool which is used to set parental controls to your computer. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be caus
中文参考:
winlog.exe是Salfeld个人 *** 安全工具,用于保护你的计算机免受安全威胁。注意winlog.exe也可能是W32.Agobot.LF病毒程序。该病毒利用Windows LSASS漏洞,制造缓冲区溢出,导致你的计算机崩溃。详细信息参见:,注意:winlog.exe也可能是记录操作的恶意程序。
出品者:Salfeld
属于:Salfeld Personal Security
系统进程:No
后台程序:Yes
*** 相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
看看Baidu对进程管理相关解释: winlog.exe,进程管理器 - winlog.exe是否病毒 - winlog.exe,进程杀手
再有可到下面网址看看
为什么电脑一开机就出现了winlog.exe
开机出现winlog.exe,没操作什么导致的,系统损坏的可能性大。
一、进入高级启动选项进行恢复
1、开机后按F8等快捷键进入高级启动选项,并选择进入“最后一次正确配置”,如果问题不严重使用最后一次正确配置会自动修复;
2、如果无法恢复,则在高级启动选项中选择进入“安全模式”,再卸载一些最近安装的驱动或软件,并重启再进入正常模式;
二、若还是无法解决或者无法进入安全模式,使用系统光盘或者 *** 启动盘,修复一下操作系统。
三、如何 *** win7-64位启动盘
准备工作
1、下载好UltraISO
2、下载好WIN原版系统的ISO文件,百度msdn我告诉你下载好操作系统放到U盘
3、使用UltraISO把下载好的操作系统ISO文件写入到U盘
四、重装或者修复操作系统
1、把 *** 好的启动盘插入电脑,开机连接按启动按键F12或者ESC
2、在安装界面,要修复点左下角的修复操作系统进行修复。要重装操作系统点现在安装。
有一个病毒名称叫winlog.exe,只感染U盘,会在U盘里出现一个回收站,格式化都不行,求杀!
你找360系统急救箱帮忙,去360官网下载最新的360系统急救箱,这个能帮你解决问题。打开360系统急救箱自定义全盘扫描,查杀一遍,查杀完成后重启电脑。 然后再打开360系统急救箱,选择修复功能(修复选项可全选),立即修复
求救啊,我中了WINLOGON.EXE木马
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如 *** ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的更好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家更好尽快备份,然后关门杀毒
包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑更大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除 *** ,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。
解决“落雪”病毒的 ***
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不
要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就更好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿 我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的 *** :
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成!大家分享一下吧!
如果是WINLOGiN.EXE的话应该是病毒,一般在c:/windows下,而且图标明显的不同~~ 可以手动删除的,注意在同一文件夹下还有另一个文件的关联图标一样的,要一块删掉,不然删了WINLOGON.EXE重启后还会自动生成而正常的系统进程winlogon.exe是在c:/windows/system32下
病毒进程是winlogin.exe 而winlogon.exe是正常的进程大家要看清啊!!
winlogon - winlogon.exe - 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 *** TP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
winlogn.exe这个系统进程可以关闭吗?
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 *** TP 引擎在受害者的计算机上,群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe,然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再清除 AOL instant messenger 7.0 服务,位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System
系统进程: 是
后台程序: 是
使用 *** : 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否
winlogon.exe病毒的查杀 ***
这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程
正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如 *** ,网银就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的更好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家更好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑更大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么放,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除 *** ,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。解决“落雪”病毒的 ***
症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroute.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘
还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里!我现在所知道的就这些,要是不放心,就更好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的,连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销!重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的 *** :
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
若是还是无法执行.EXE文件,下面我们就来看看如何恢复被篡改后的.EXE文件修复工作吧。一定是某个软件甚至可能是病毒把扩展名为EXE的文件关联删除或修改了,因此按照前面对话框的提示从控制面板中执行“文件夹选项”命令,选择“文件类型”标签,在“已注册的文件类型”列表中找不到扩展名EXE和它的文件关联。试着按[新建]按钮,在“文件扩展名”后输入“.exe”,按[高级]按钮,系统自动将其文件类型定义为“应用程序”,按[确定]按钮后在“已注册的文件类型”列表中出现了扩展名“EXE”,选择它后按[更改]按钮,系统要求选择要使用的程序,可是到底要选择什么应用程序来打开EXE文件?看来这个 *** 无效,只好按[取消]按钮返回“文件夹选项”对话框。由于以前我从没听说要为扩展名为“.exe”的文件建立文件关联,所以在“已注册的文件类型”列表中选择“EXE应用程序”,并按[删除]按钮将它删除。由于所有EXE文件都不能执行,所以也无法用注册表编辑器(因为我只能运行Regedit.exe或Regedit32.exe来打开注册表编辑器)来修改注册表,看来只好重新启动计算机了。在出现“正在启动Windows…”时按[F8]键,出现“Windows 2000高级选项菜单”,选其中的“最后一次正确的配置”,进入Windows 2000时仍然报错。只好再次重新启动,这次选“安全模式”,虽然没有报错,但仍不能运行EXE文件。再试试“带命令行提示的安全模式”选项,启动成功后在命令提示符窗口的命令行输入:help| more(“|”是管道符号,在键盘上位于Backspace键左边),在系统显示的信息之一行我看到了如下信息“ASSOC Displays or modifies file extension associations”,大致意思是“ASSOC显示或修改文件扩展名关联”,按任意键继续查看,又看到了如下信息“FTYPE Displays or modifies file types usedin file extension associations.”,大意是“FTYPE显示或修改用在文件扩展名关联中的文件类型”,原来在命令提示符窗口还隐藏着这两个特殊命令,可以用来设置文件扩展名关联。于是,在命令行分别输入“help assoc”和“help ftype”两个命令获取了它们的使用 *** 接着通过下面的设置,终于解决了EXE文件不能运行的故障。故障解决先在命令行command输入:assoc .exe来显示EXE文件关联,系统显示“没有为扩展名.exe找到文件关联”,难怪EXE文件都不能执行。接着输入:ftype | more来分屏显示系统中所有的文件类型,其中有一行显示为“exefile="%1" %*”,难道只要将EXE文件与“exefile”关联,故障就会解决?于是在命令行输入:assoc .exe=exefile(assoc与.exe之间有一空格),屏幕显示“.exe=exefile”。现在关闭命令提示符窗口,按[Ctrl+Alt+Del]组合键调出“Windows安全”窗口,按[关机]按钮后选择“重新启动”选项,按正常模式启动Windows 2000后,所有的EXE文件都能正常运行了。另外,的利用regedit.com的 *** 应该是最行之有效的办法。1、修改regedit.exe 为 regedit.com2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,键值为"%1" %
清除winlogon.exe病毒 与恢复EXE文件的全过程
我们黑基的帅哥kine,机器不知怎么中了winlogon.exe病毒,搞的就要重装系统的下场了。那么让我们来看看这个winlogon.exe病毒到底是什么东西的呢这么的历害的呢,winlogon.exe病毒这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。
注释: winlogon.exe 是存放在目录 C:\Windows\System32。已知的 Windows XP 文件大小为 502,272 字节 (占总出现比率 79% ),507,904 字节,308,224 字节,516,608 字节,430,080 字节,314,880 字节,502,784 字节,508,928 字节,541,696 字节,557,056 字节,504,320 字节,504,832 字节,487,424 字节,483,328 字节,528,384 字节,487,936 字节,506,368 字节,520,704 字节,430,592 字节,518,144 字节,537,600 字节,313,856 字节,505,344 字节,425,472 字节,429,056 字节,507,392 字节。
进程是不可见的。 这个文件是由 Microsoft 所签发。 winlogon.exe 是有能力可以 纪录输入,监控应用程序,操纵其他程序。 总结在技术上威胁危险度是 12% , 但是也可以参考 用户意见。
如果 winlogon.exe 位于在目录 C:\Windows下,那么威胁危险度是 75% 。文件大小是 159,744 字节 (占总出现比率 28% ),111,616 字节,163,840 字节,109,056 字节,98,304 字节,69,632 字节,24,635 字节,111,104 字节,570,368 字节,109,568 字节,40,960 字节,155,648 字节,82,030 字节,570,880 字节,18,161 字节,147,968 字节,646,656 字节,91,136 字节,121,344 字节,23,632 字节,94,208 字节,98,429 字节,274,440 字节,16,535 字节,73,730 字节,114,176 字节,82,024 字节,143,360 字节,65,536 字节,61,440 字节。这个不是 Windows 核心文件。 没有文件的资料。 文件存放于 Windows 目录但并非系统核心文件。 程序是不可见的。 这个进程在 Windows 载入程序中开启 (参看注册表项: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,C:\Windows\win.ini,HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run,-,,HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders)。 winlogon.exe 是有能力可以 纪录输入,接到互联网,监控应用程序。
如何检查你的Winlogon.exe是否正常
由于Winlogon.exe是系统启动必需的进程、非常重要,所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的,当你感染它之后,它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统,PcShare就会随Winlogon.exe一起运行,而且还能躲过大部分 *** 防火墙的拦截。
正因为Winlogon.exe特别容易染上病毒和木马,所以关注Winlogon.exe是否染毒就很有必要了,那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察:
1、检查Winlogon.exe的名称与路径
与其他系统进程(如 *** SS.EXE、LSASS.EXE、CSRSS.EXE 等)一样,Winlogon.exe的名称也是不区分大小写的,假如你在任务管理器中发现,Winlogon.exe有时是大写、有时又是小写,这也是正常的!不过你可要仔细检查,其名称中那个“O”到底是字母O、还是数字0?如果是数字0,Winlog0n.exe肯定就是病毒啦!
其次还要检查Winlogon.exe所在的路径,正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的,或者其所在路径是%Windows%,那么这个Winlogon.exe肯定也染上病毒了!
2、Winlogon.exe不会自动要求连接 ***
Winlogon.exe是一个本地进程,所以它是绝对不会自动要求连接 *** 的!假如你启动TCPView2.4,[1][2][3]发现在进程列表中有Winlogon.exe进程打开某端口监听、要求连接 *** ,那么这个Winlogon.exe肯定是被木马程序劫持了,应该尽快清除之。
另外建议你运行一下软件Auto runs,然后选择Winlogon.exe,检查它启动了哪些文件。正常情况下,Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件,具体名称如下,如果不是这些文件,就非常可疑了
键盘记录器是病毒是怎么入侵的
进程文件: rund1132 或 rund1132.exe 删掉 进程位置: windir 程序名称: Win32.Troj. *** Record 程序用途: 盗取 *** 帐号密码的木马, 程序作者: 系统进程: 否 后台程序: 是 使用 *** : 是 硬件相关: 否 安全等级: 低 进程分析: 该病毒又称 *** 记录器木马,通过好友传过来的图片文件感染,病毒在后台运行,不断记录用户的键盘操作,从而窃取用户的qq号、密码等信息,并发送到黑客指定的信箱中。该病毒修改注册表创建文本关联,只要打开文本文件病毒即运行,同时病毒修改注册表创建Run/server=C:\WINDOWS\system32\system.exe项实现自启动,并将病毒模块gkyct.dll等注入进程运行。病毒也修改注册表创建Run/Cnmins项实现rund1132.exe自启动,并将病毒模块msad.dll注入进程运行。病毒也修改注册表创建Run/sys004(数字变化)实现自启动。病毒包括:rundl132.exe(sys003),rundll32.exe、winlog.exe(sys001), *** PP.EXE(sys011)等等。