Windows登录进程,Windows NT用户登录程序,管理用户登录和注销。该进程的正常路径应该是C:\Windows\System32,并以系统用户身份运行。
如果不是上述路径,也不是以系统用户身份运行,可能是W32。Netsky.D@mm蠕虫,通过邮件传播。当你打开病毒发送的附件时,它就会被感染。
文件信息
软件大小:267KB软件星级:2.5软件语言:中文简体开发者:首页软件类别:国产软件软件授权:免费版本更新时间:2010-02-0814:35:36应用平台:9x/XP/2K/Vista[1]
msdtc
生产商:微软公司所属:微软Windows操作系统系统进程:是后台程序:是网络:无硬件相关:无常见错误:当前未知内存使用情况:当前未知安全级别(0-5): 0间谍软件:无广告软件:无病毒:无特洛伊马:无
检查Winlogon.exe是否正常。
因为Winlogon.exe是系统启动的必经过程,非常重要,所以目前很多木马都盯上了它!比如国内的木马程序里有一个PcShare。当你感染了它,
它会自动将自己的进程插入Winlogon.exe进程;将来一旦启动系统,PcShare就会和Winlogon.exe一起运行,而且还能逃过大部分网络防火墙的拦截。
因为Winlogon.exe特别容易感染病毒和木马,所以有必要注意Winlogon.exe是否被感染。
那么如何检查Winlogon.exe是否正常呢?建议你从以下几点进行调查:检查Winlogon.exe的名称和路径是否与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE等)相同。),
Winlogon.exe的名称也不区分大小写。如果你在任务管理器中发现Winlogon.exe有时大写,有时小写,这是正常的!但是你必须仔细检查,
它名字中的“O”是字母O还是数字0?如果数字是0,Winlog0n.exe一定是病毒!其次,我们应该检查Winlogon.exe所在的路径。
普通的Winlogon.exe应该位于目录C:\Windows\System32中,并以系统用户身份运行。如果您发现它在任务管理器中作为非系统用户运行,
或者它的路径是%Windows%,那么这个Winlogon.exe一定感染了病毒!Winlogon.exe不会自动要求连接到网络。Winlogon.exe是一个局部过程。
所以它永远不会自动请求连接网络!如果您启动TCPView2.4,[2]您会发现在进程列表中有一个Winlogon.exe进程打开一个端口监视器并请求连接到网络。
那么这个Winlogon.exe一定是被特洛伊木马程序劫持了,应该尽快删除。另外,我建议你运行软件Auto runs,然后选择Winlogon.exe来检查它启动了哪些文件。正常情况下,
Winlogon.exe应该已经启动了一个可执行文件logonui.exe和六个dll文件。具体名称如下。如果不是这些文件,那就很可疑了!
个案研究
最近,一种名为“落雪”的病毒出现了,它非常强大,可以摧毁特洛伊克星,使其无法正常运行。用VB编程语言编写,北斗的外壳处理。特洛伊文件图标一般为红色图案,伪装成网络游戏的登录者。病毒运行后,
c盘和windows目录的程序文件中产生了winlogon.exe、regedit.com等14个病毒文件,但病毒文件的数量很少。实际上,这14个文件名不同的病毒文件属于同一个文件。
“落雪”的名字可能也来源于此。这个特洛伊的另一个狡猾之处是创建了一个叫做winlogon.exe的过程。
并将其路径指向c:\windows\winlogon.exe(正常的系统进程路径是C:\ Windows \ System32 \ winlogon . exe),以混淆用户。
不可或缺的Winlogon
悟空问:“教授,今天我们学哪门课?”谭教授:“悟空,你每天启动操作系统的时候,有没有想过系统启动跟哪些进程有关?”看到悟空挠头,谭教授就知道他肯定没注意到。
于是他说:“今天我们来解释一下这个和系统启动相关的过程,——Winlogon.exe。”
提示:Winlogon.exe是Windows NT登录管理器。它用于处理用户系统的登录和登录过程,并管理用户的登录和注销。当用户按Ctrl Alt Del时,Winlogon被激活。
显示“安全性”对话框。这个过程在用户系统中的作用非常重要。
经常玩游戏的八戒看了前面的介绍后表示:“研究了这些问题,发现这些高危进程经常被病毒、木马、后门利用。特洛伊文件名全部被模拟为正常的系统工具名,但文件扩展名被更改为。' com '为什么?”
谭教授解释说:“这是因为Windows操作系统比。exe文件。例如,名为Regedit.com的特洛伊,当用户调用注册表编辑器Regedit.exe时,
习惯上输入Regedit,但此时输入的不是微软的Regedit.exe程序,而是Regedit.com的特洛伊文件,从中可以看出特洛伊作者的‘良苦用心’。”悟空马上接过:“难怪注册表加密后,
人们可以通过把Regedit.exe改成Regedit.com来解密。谭教授对悟空的表演非常满意。
悟空忽然又挠了挠头,道:“通过前几期的讲解,我已经了解了一点这些病毒和木马是如何迷惑用户的。那么除了使用相似的名称和改变原始路径之外,
经常听到网友说,通过进程名的大小写就能看出区别?"
“这个我经常听说,但是我觉得这样区分是不科学的,因为进程名的大小写是由文件名的大小写决定的。”谭教授解释道。
