winlogon查杀技巧：winlogon.exe几种病毒的杀毒方法

　　进程文件:winlogon or winlogon.exe

　　进程名称:microsoft windows logon process

　　描述:winlogon.exe是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建smtp引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32下面

　　出品者:microsoft corp.

　　属于:windows系统

　　系统进程:是

　　后台进程:是

　　使用网络:否

　　硬件相关:否

　　常见错误:未知

　　内存使用:未知

　　安全等级:0

　　间谍软件:否

　　广告软件:否

　　病毒:否

　　木马:否

　　现在有几种木马病毒也化做winlogon.exe来混进系统，是人防不胜防，因此如果你的电脑有下列之一症状，请检查一下是否中招。

　　winlogon.exe错误引发蓝屏stop c000021a的病毒解决过程

　　症状： 启动和关机的时候出现winlogon.exe错误，关机或者重启的时候出现蓝屏Stop c000021a 错误。既是系统修复还是出现上述症状 解决办法： 删除C:WindowsSystem32instcat.dll病毒链接库。删除注册表中: HKEY_LOCAL_MACHINESOFTWAREMICROSOFTWINDOWS NTCurrentVersionWinlogonNotifyinstcat项。

　　落雪 Winlogon.exe病毒的查杀方法

　　这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程 　　正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。

　　winlogon启动dll引起的问题及解决方法

　　取当前用户的Token，一般有两种方法：1、如果你知道用户名、密码，可以使用LogonUser获得Token // 登陆用户，获得用户的Token LogonUser();2、如果不知道用户名、密码，可以通过OpenThreadToken()从其他进程中获取Token，注意的是该进程要能够TOKEN_QUERY，最好的选择莫过于Explorer.exe了 // 创建进程快照 CreateToolhelp32Snapshot() // 枚举进程，获得Explorer.exe的进程ID Process32First() Process32Next(); // 获得Explorer.exe的Token OpenThreadToken();

　　winlogon进程100%cpu占用的解决办法

　　近日陆续有朋友的计算机遭遇WINLOGON CPU100%占用问题，苦于没有好的杀毒软件，一时让它得趁了，而今终于手工干掉了它，长出一口恶气。遭遇winlogon cpu100%占用后，系统启动及其缓慢，平日1分钟的过程变成了1刻钟。如果安心等待，待进入桌面时打开任务管理器，将winlogon进程运行级别调整到最低，此后的系统操作还算正常的。windows核心有MFC40.DLL MFC42.DLL就是没有MFC48.DLL，因此，必须干掉它。

　　Gina.DLL被破坏，无法调用winlogin登录界面

　　1、Windows XP 在Normal和Safe Mode 下提示GinaDll文件被破坏或者提示rpcfap.dll丢失，登录UI无法正常显示。2、利用ERD启动系统后，查找注册表[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]项，发现GinaDLL="rpcfap.dll"这个键值，删除该键值，然后重新启动，系统可以正常登录。3、再次重新启动系统，重复出现现象1的错误提示，用ERD启动后查看注册表，GinaDLL再次出现在Winlogon项里。

　　winmgmt.exe和winlogon.exe系统进程简介

　　[winmgmt.exe]进程文件: winmgmt or winmgmt.exe进程名称: Windows Management Service描述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。[winlogon.exe]进程文件: winlogon or winlogon.exe进程名称: Windows Logon Process描述: Windows NT用户登陆程序。这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.2MB到8.5MB之间波动;

　　WINLOGON.EXE病毒的清除

　　这个木马非常厉害，打开D盘有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马 解决“落雪”病毒的方法 症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件 做这个病毒的人也太强了，在安全模式用Administrator一样解决不了!它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。

　　无耻的盗号木马WINLOGON.EXE(全大写，小写的那个一般是核心进程)

　　  最近上网不幸中了盗号木马，norton av8 防毒虽好，对木马却是视而不见。尤其是恶意软件，更是察觉不到。windows defender(antispyware)虽好，可是只给正版用户使用，真是郁闷。iparmor也很老迈了，与其中了再杀，还不如用upiea防范!更何况上面这些防反垃圾的软件都对bho视而不见!bho可真是恶心!据说M$早有了补丁，但是我竟然忘了补丁是哪个。总之一句话，无耻的人利用bho犯下的无耻罪行几乎和3721的实名上网不分伯仲。不说这些了，还是回过头来讲WINLOGON.EXE这个垃圾!用filemon(www.sysinternals.com，使用时“EXCLUDE”掉explorer.exe;csrss.exe;svchost.exe这些核心进程)就可以很容易看到，当你一打开tool类型的窗口，比如win+R“运行”那个，它就开始活动了(调用网络函数的dll)，想把你输入的东东发到它主人那里。并且不释放资源，任其发展会吃尽内存(要不然我可能还会妥协呢!)。这个垃圾现在的变种极无耻