Windows Logon Process，Windows NT 用戶登陸程序，管理用戶登錄和退（tuì）出。該進程的正常路徑應是（shì） C:\Windows\System32 且是以 SYSTEM 用戶運行（háng），若不是以上路徑且不（bú）以 SYSTEM 用戶運行，則可能是 W32.Netsky.D@mm 蠕蟲（chóng）病毒，該病（bìng）毒通過 EMail 郵（yóu）件傳播，當你打開病（bìng）毒發送的附件時，即（jí）會被感染。

文件信息

軟件大小：267KB
軟件星級：2.5
軟件語言：中文簡（jiǎn）體（tǐ）
開 發 商：HOMEPAGE
軟件類別：國產軟件（jiàn）
軟（ruǎn）件授權：免費版本
更新（xīn）時間：2010-02-0814:35:36
應用（yòng）平台：9x/XP/2K/Vista[1]

進（jìn）程信息

進程文件： winlogon or winlogon.exe
進程名稱： Microsoft Windows Logon Process
描述：
該病毒（dú）會創建 SMTP 引擎在受害者的計算機上，群發郵件（jiàn）進行傳播（bō）。手工（gōng）清除該病毒時（shí）先結束（shù）病毒進（jìn）程 winlogon.exe，然後刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服務，位於注冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。
出品者： Microsoft Corp.
屬於： Microsoft Windows Operating System
係統進程： 是
後（hòu）台程序： 是
使用（yòng）網絡： 否
硬件（jiàn）相關： 否
常見錯誤： 目前未知
內存使用： 目前未知（zhī）
安全等級（jí） (0-5): 0
間諜（dié）軟件： 否
Adware: 否
病（bìng）毒： 否
木馬： 否

檢查（chá）Winlogon.exe是否正常

由於Winlogon.exe是係統啟（qǐ）動必需的進程、非常重要，所以目前很多木（mù）馬程序都盯（dīng）上了它!例如國產木馬程序中有個叫（jiào）PcShare的，當你感染它之後，它就會自動把自己的進程插入到Winlogon.exe進程（chéng）中;以後一旦你啟（qǐ）動係統，PcShare就會隨（suí）Winlogon.exe一（yī）起運行，而（ér）且還能躲過大部分網絡防火牆的攔截。
正因為Winlogon.exe特（tè）別容易染上病毒和木馬，所以關注Winlogon.exe是否染毒就很有必要了，那麽如何檢（jiǎn）查Winlogon.exe是否正常呢（ne）?建議你從以下（xià）幾（jǐ）點來考察：
檢查Winlogon.exe的名稱（chēng）與路徑
與其他係（xì）統進程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣，Winlogon.exe的名稱（chēng）也是不區分大小寫的，假如你在任務（wù）管理器中發現，Winlogon.exe有時是（shì）大（dà）寫、有時又是小寫，這也是正常（cháng）的!不（bú）過你可要仔細檢查，其名稱中那個“O”到底是字母（mǔ）O、還是數字0?如果是數字0，Winlog0n.exe肯定就是病毒（dú）啦!
其次（cì）還要（yào）檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應該位於C:\Windows\System32目錄下、並且是以 SYSTEM 用戶運行（háng）的。如（rú）果你在任務管理器中發現它是以非SYSTEM 用（yòng）戶運行的，或者其所在路徑是%Windows%，那麽這個Winlogon.exe肯定也染上病毒了!
Winlogon.exe不會自動要求連接網絡
Winlogon.exe是一個本地進程，所以它是絕對不會自（zì）動要求連接網絡的!假如你啟動TCPView2.4，[2]發現在進程列表中有Winlogon.exe進程打開某端口（kǒu）監（jiān）聽、要求連接網絡，那麽這個Winlogon.exe肯定是被木馬程序劫持了，應該盡快清除之。
另外建議你運行一下軟件Auto runs，然後選擇Winlogon.exe，檢查它啟動了哪些文件（jiàn）。正常情況下，Winlogon.exe應該啟動了1個執行文（wén）件logonui.exe和6個dll文件，具體名稱如下，如果不是這些文件，就非常可疑了!

經案例

最近出現一個（gè）名為“落雪（xuě）”的病毒，這個病毒非常厲（lì）害，能破壞木（mù）馬克星，使其不能正常運行。它由VB 程序語言編寫，通過北鬥殼加殼處理，該木馬文件圖標一般是（shì）紅色的圖案，偽裝成網絡遊戲的登錄器。病毒運（yùn）行後，在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個病毒文件，病（bìng）毒文件（jiàn）之多比較少見。事實上這14個不同文件名的（de）病毒文（wén）件係同一種文件（jiàn），“落雪”之名亦可能由此而（ér）來。該木馬（mǎ）另（lìng）一狡詐之處就是（shì）創（chuàng）建一名為winlogon.exe的進程，並把其路徑（jìng）指向c:\windows\winlogon.exe（正常的係統（tǒng）進程路徑是（shì）C:\WINDOWS\system32\ winlogon.exe），以此達到（dào）迷惑（huò）用戶的目的（de）。

不可或缺的Winlogon

悟空問道（dào）：“教授，今天我們學習哪個進程啊？”譚教授：“悟空，你每天啟動操作係統的時候，有沒有想過係統的啟動和哪（nǎ）些進程有關呢？”看著悟空抓耳撓腮的樣子，譚教授明白他一（yī）定是沒有注意到（dào），於（yú）是說：“今天我們就來講解（jiě）一下（xià）這個和（hé）係統啟動相關的進程——Winlogon.exe。”

小知識：Winlogon.exe是Windows NT登錄管理器。它用於處（chù）理用戶係統的登錄和登錄過程，並且管理用戶的登錄和退出。Winlogon在用戶（hù）按下Ctrl+Alt+Del時就激活了，顯示安全對話（huà）框。該進程在用戶係統中的作用是（shì）非常重（chóng）要的。

看完前（qián）麵的介紹，經常玩遊戲的八戒（jiè）說道（dào）：“通過這幾期的學習後我（wǒ）發現，這些高危的（de）進程常常被病毒、木馬、後門所利用。木馬文件名都（dōu）模擬成正常（cháng）的係（xì）統工具名稱，但是文件擴展名（míng）變成了‘.com’，為什麽會這樣呢？”

譚教授解釋道：“是因為Windows操作係統執行.com文件的優先級比.exe文件高的特性（xìng）。比如木馬命名為Regedit.com，當用戶調用注冊表編輯器Regedit.exe的時候，一般習慣輸入Regedit，而這時執行的並不是（shì）微軟的Regedit.exe程序，而是木馬文件Regedit.com，由此也可以看出木馬作者的‘用心良苦’。”
悟空馬上接茬：“怪不（bú）得注冊表被加密後，人們將Regedit.exe改為Regedit.com就可以解密了。”譚教授對悟空的表現感到非常的欣慰。

突然悟空又撓著頭說道：“通過前麵幾期的講解，我已經（jīng）對這些病毒、木馬迷惑用戶的方（fāng）法略知（zhī）一二。那麽（me）除了通過相似（sì）的名稱，以（yǐ）及改變原有路徑來進行以（yǐ）假亂真以外，我（wǒ）常常聽網友說通（tōng）過（guò）進程名稱的大小（xiǎo）寫也可以進行分辨？”

“這個（gè）我也經常聽說，但是（shì）我覺（jiào）得這樣分辨不科學，因為進程名稱的大小寫是（shì）根據（jù）文件名稱的大小（xiǎo）寫來決定的。”譚教授解釋道。