首頁 > 知識文檔

winlogon.exe是什么(winlogon.exe是什么文件)

更新時間:2023-03-01 21:04:55 閱讀：評論：0

winlogon.exe病毒介紹以及清楚查殺方法

winlogon.exe正常進程信息：

進程文件： winlogon or winlogon.exe

進程名稱： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陸管理器。它用于處理你系統(tǒng)的登陸和登陸過程。該進程在你系統(tǒng)的作用是非常重要的。

出品者： Microsoft Corp.

屬于： Microsoft Windows Operating System

系統(tǒng)進程：是

后臺程序：是

使用網(wǎng)絡：否

硬件相關：否

常見錯誤：未知N/A

內存使用：未知N/A

安全等級 (0-5): 0

間諜軟件：否

Adware: 否

病毒：否

木馬：否

感染后的winlogon.exe病毒進程：

winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒。該病毒通過Email郵件傳播，當你打開病毒發(fā)送的附件時，即會被感染。該病毒會創(chuàng)建SMTP引擎在受害者的計算機上，群發(fā)郵件進行傳播。該病毒允許攻擊者訪問你的計算機，竊取密碼和個人數(shù)據(jù)。該進程的安全等級是建議刪除。

如果你發(fā)現(xiàn)你的系統(tǒng)程序里面有一個大寫的WINLOGON.EXE，一個小寫winlogon.exe，那么恭喜你，你中了“落雪”病毒.大寫的 WINLOGON.EXE就是病毒文件,“落雪”木馬也叫“游戲大盜”(Trojan/PSW.GamePass），由VB程序語言編寫，通過 nSPack3.1加殼處理（即通常所說的“北斗殼”NorthStar），該木馬文件圖標一般是紅色的圖案，偽裝成網(wǎng)絡游戲的登陸器。

winlogon.exe病毒感染情況分析：

落雪病毒運行后，在C盤programfile以及windows目錄下生成

C:windowswinlogon.exe

C:WINDOWS.com

C:WINDOWSExERoute.exe

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSsystem32command.pif

C:Windowssystem32command.com

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32finder.com

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32regedit.com

C:WINDOWSsystem32rundll32.com

C:WindowsWINLOGON.EXE

C:WINDOWSrvices.exe

C:WINDOWSDebugDebugProgramme.exe

等多個病毒文件，病毒文件之多比較少見，，事實上這14個不同文件名的病毒文件系同一種文件，“落雪”之名亦可能由此而來。病毒文件名被模擬成正常的系統(tǒng)工具名稱，但是文件擴展名變成了.com。這是病毒利用了Windows 操作系統(tǒng) 執(zhí)行.com文件的優(yōu)先級比EXE文件高的特性，這樣，當用戶調用系統(tǒng)配置文件Msconfig.exe的時候，一般習慣上輸入Msconfig，而這是執(zhí)行的并不是微軟的Msconfig.exe程序，而是病毒文件 Msconfig.com，落雪病毒作者的“良苦用心”由此可見。病毒另一狡詐之處還有，病毒還創(chuàng)建一名為winlogon.exe的進程，并把 winlogon.exe的路徑指向c:windowsWINLOGON.EXE，而正常的系統(tǒng)進程路徑是 C:WINDOWSsystem32winlogon.exe，以此達到迷惑用戶的目的。

除了在C盤下生成很多病毒文件外，病毒還修改注冊表文件關聯(lián)，每當用戶點擊html文件時，都會運行病毒。此外，病毒還在其他盤下生成一個 autorun.inf和一個pagefile.com的文件自動運行批處理文件，這樣即使C盤目錄下的病毒文件被清除，當用戶打開D盤時，病毒仍然被激活運行。這也是許多用戶反映病毒屢殺不絕的原因。

winlogon.exe病毒手動查殺方案：

WINLOGON.EXE病毒，近來在網(wǎng)絡很流行，許多朋友都中了，許多殺毒軟件能查到，但是無論如何都無法清除。

不知道什么原因，這個病毒的中文譯名叫做“落雪”，又叫“飄雪”，很美吧？

我檢查了一下，發(fā)現(xiàn)進程里多出一個大寫的WINLOGON，是在winnt或windows目錄下的，而正常情況下，這個進程應該是在winnt或 windows/system32目錄下的，此進程不言而知。注冊表下的啟動項，里面有個Torjan pragramme的啟動項目，不能徹底刪除。

以下是刪除的方法：

這個進程WINLOGON.EXE的用戶名是用戶自己，因此不可能是正常的系統(tǒng)進程，正常的winlogon系統(tǒng)進程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統(tǒng)用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現(xiàn)了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統(tǒng)用戶的話，表明可能存在木馬。

這個木馬非常厲害，能破壞掉木馬克星等許多著名的殺毒軟件，使其不能正常運行，就算能正常運行，也會錯誤殺毒或查毒。目前使用其他殺毒軟件未能殺死。但是很明顯，人工也可以看出，那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這個病毒中的小角色而已，大家用鼠標右鍵【打開】，打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，這些當然都是隱藏的，刪這幾個沒用的，因為她關聯(lián)了很多東西，甚至在安全模式都不能刪死，只要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了。而且這段時間很多人的帳號被盜就是因為這個解除的傳家寶了。

我分析了一下這個木馬的資料，連接是通向河南和天津的某一地區(qū)，看來是國內的。而且她很有趣，如果你機子上有傳奇等游戲，必然惹來她的親吻，那么說QQ之類的帳號密碼會不會被泄漏，這個不清楚，但起碼我有些朋友已經(jīng)被盜了。

解決“落雪”病毒的方法

癥狀：D盤雙擊打不開，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系統(tǒng)的運作，因此此兩個文件難以刪除，在安全模式用Administrator一樣解決不了！經(jīng)過一個下午的奮戰(zhàn)才算勉強解決。我沒用什么查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。它所關聯(lián)的文件如下，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。所以要在文件夾選項里打開顯示隱藏文件。

D盤里就兩個，搞得你無法雙擊打開D盤。C盤很多相關文件程序

D:autorun.inf

D:pagefile.com

C:Program FilesInternet Exploreriexplore.com

C:Program FilesCommon Filesiexplore.com

C:WINDOWS.com

C:WINDOWSiexplore.com

C:WINDOWSfinder.com

C:WINDOWSExeroud.exe（傳奇的圖標，很漂亮）

C:WINDOWSDebug*** Programme.exe（也是上面那個圖標，名字每臺機子都不同，但是明顯是非隱藏的）

C:Windowssystem32command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪，當然系統(tǒng)文件肯定不是這段時間的。

C:Windowssystem32msconfig.com

C:Windowssystem32regedit.com

C:Windowssystem32dxdiag.com

C:Windowssystem32rundll32.com

C:Windowssystem32finder.com

C:Windowssystem32a.exe

值得注意的是：看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁盤，還有一個頭號文件！WINLOGON.EXE！做了這么多工作目的就是要離開她的親吻！

C:WindowsWINLOGON.EXE

這個在進程里明顯可以看得到，有兩個，一個是真的，一個是假的。

真的是小寫winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，

而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。

這個文件在進程里是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會

呆在你的進程里！我現(xiàn)在所知道的就這些，要是不放心，就最好看一下其中一個文件的修改日期，然后用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的，連系統(tǒng)還原夾里都有??！這些文件會自己關聯(lián)的，要是你刪了一部分，不小心運行了一個，或在開始－運行里運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來！

知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件里頭的WINDOWS資源管理器，并在上面的工具里頭的文件夾選項里頭的查看里設置顯示所有文件和文件假，取消隱藏受保護操作系統(tǒng)文件，然后打開開始菜單的運行，輸入命令 regedit，進注冊表，到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

里面，有一個Torjan pragramme，這個明擺著“我是木馬”，刪??！

然后注銷！重新進入系統(tǒng)后，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。到D盤（注意不要雙擊進入！否則又會激活這個病毒）右鍵，選【打開】，把autorun.inf和pagefile.com刪掉，

然后再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中一個文件，否則所有步驟都要重新來過！然后再注銷。

我在奮戰(zhàn)過程中，把那些文件刪掉后，所有的exe文件全都打不開了，運行cmd也不行。

打開我的電腦點工具==>文件夾選項==>文件類型==>新建exe擴展名，點高級選應用程序。

即可運行

但我在弄完這些之后，在開機的進入用戶時會有些慢，并會跳出一個警告框，說文件"1"找不到。（應該是Windows下的1.com文件。）,最后用System Repair Engineer看情況修理一下系統(tǒng)的啟動項、系統(tǒng)關聯(lián)等。

最后說一下怎么解決開機提示找不到文件“1.com”的方法：

在運行程序中運行“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中

把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe" 當然這也是啟動項罷了。

殺毒軟件查殺winlogon.exe病毒方法：

請更新你的殺毒軟件病毒庫到最新版本進行查殺

winlogon.exe是什么文件

系統(tǒng)進程，負責管理系統(tǒng)的登錄。

Windows XP 常見的進程列表

最基本的系統(tǒng)進程（也就是說，這些進程是系統(tǒng)運行的基本條件，有了這些進程，系統(tǒng)
就能正常運行）

smss.exe Session Manager
csrss.exe 子系統(tǒng)服務器進程
winlogon.exe 管理用戶登錄
rvices.exe 包含很多系統(tǒng)服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
(系統(tǒng)服務)
產(chǎn)生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(jù)(ticket)。(系統(tǒng)服務)
svchost.exe 包含很多系統(tǒng)服務
svchost.exe
SPOOLSV.EXE 將文件加載到內存中以便遲后打印。(系統(tǒng)服務)
explorer.exe 資源管理器
internat.exe 托盤區(qū)的拼音圖標

附加的系統(tǒng)進程（這些進程不是必要的，你可以根據(jù)需要通過服務管理器來增加或減
少）
mstask.exe 允許程序在指定時間運行。(系統(tǒng)服務)
regsvc.exe 允許遠程注冊表操作。(系統(tǒng)服務)
winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統(tǒng)服務)
tlntsvr.exe 允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統(tǒng)服務)
tftpd.exe 實現(xiàn) TFTP Internet 標準。該標準不要求用戶名和密碼。遠程安裝服務
的一部分。(系統(tǒng)服務)
termsrv.exe 提供多會話環(huán)境允許客戶端設備訪問虛擬的 Windows 2000
Professional 桌面會話以及運行在服務器上的基于 Windows 的程序。(系統(tǒng)服務)
dns.exe 應答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務)

以下服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000
Professional 的能力。(系統(tǒng)服務)
支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及
Quote of the Day。(系統(tǒng)服務)
ismrv.exe 允許在 Windows Advanced Server 站點間發(fā)送和接收消息。(系統(tǒng)服
務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務)
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。
(系統(tǒng)服務)
llssrv.exe Licen Logging Service(system rvice)
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。(系統(tǒng)服務)
RsSub.exe 控制用來遠程儲存數(shù)據(jù)的媒體。(系統(tǒng)服務)
locator.exe 管理 RPC 名稱服務數(shù)據(jù)庫。(系統(tǒng)服務)
lrver.exe 注冊客戶端許可證。(系統(tǒng)服務)
dfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務)
clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面。(系統(tǒng)
服務)
msdtc.exe 并列事務，是分布于兩個以上的數(shù)據(jù)庫，消息隊列，文件系統(tǒng)，或其
它事務保護資源管理器。(系統(tǒng)服務)
faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務)
cisvc.exe Indexing Service(system rvice)
dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務。(系統(tǒng)服務)
mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統(tǒng)服
務)
netdde.exe 提供動態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡傳輸和安全特性。(系統(tǒng)服務)
smlogsvc.exe 配置性能日志和警報。(系統(tǒng)服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網(wǎng)絡信號和本地通信控制
安裝功能。(系統(tǒng)服務)
RsEng.exe 協(xié)調用來儲存不常用數(shù)據(jù)的服務和管理工具。(系統(tǒng)服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統(tǒng)服務)
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件，并且將重復文件指向一個數(shù)據(jù)存
儲點，以節(jié)省磁盤空間。(系統(tǒng)服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)
服務)
snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡設備的活動并且向網(wǎng)絡控制臺工作站匯報。(系
統(tǒng)服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞
到運行在這臺計算機上 SNMP 管理程序。(系統(tǒng)服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務)
msiexec.exe 依據(jù) .MSI 文件中包含的命令來安裝、修復以及刪除軟件。(系統(tǒng)服務)

C:\WINDOWS \system32\winlogon.exe是什么進程

位于C:\Windows\System32目錄下的Winlogon.exe是Windows
XP登錄管理器，主要用于管理XP用戶的登錄和退出，處理用戶登錄和注銷任務。當你按Ctrl
Alt
Del然后選擇“任務管理器”，在進程列表中即可看到Winlogon.exe進程,其占用空間大小是動態(tài)變化的──與用戶登錄的時間有關。如果你登錄XP系統(tǒng)一個小時左右，該進程將會占用1.2MB～8.5MB內存空間。其實需要知道的是,該程序對系統(tǒng)非常重要,系統(tǒng)啟動必需的進程!(需要記住,該進程一定要處于C:\Windows\System32,并且是以
SYSTEM
用戶運行的才是正常的,否則一般可認為是病毒,即如果不是在該目錄下的Winlogon.exe,記得殺掉)

winlogon是什么進程

winlogon - winlogon.exe - 進程信息
進程文件： winlogon or winlogon.exe
進程名稱： Microsoft Windows Logon Process
描述：
WinLogon.exe是Windows NT登陸管理器。它用于處理你系統(tǒng)的登陸和登陸過程。該進程在你系統(tǒng)的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒。該病毒通過Email郵件傳播，當你打開病毒發(fā)送的附件時，即會被感染。該病毒會創(chuàng)建SMTP引擎在受害者的計算機上，群發(fā)郵件進行傳播。該病毒允許攻擊者訪問你的計算機，竊取密碼和個人數(shù)據(jù)。該進程的安全等級是建議刪除。
出品者： Microsoft Corp.
屬于： Microsoft Windows Operating System
系統(tǒng)進程：是
后臺程序：是
使用網(wǎng)絡：否
硬件相關：否
常見錯誤：未知N/A
內存使用：未知N/A
安全等級 (0-5): 0
間諜軟件：否
Adware: 否
病毒：否
木馬：否
1、升級木馬、病毒庫，清理病毒、木馬、惡意軟件-殺毒軟件、360不行就‘安全模式’下查殺一定是全盤。設置好你的殺毒、防護監(jiān)控軟件為自動;運行-cmd-sfc /scannow進行系統(tǒng)修復，需要系統(tǒng)安裝盤
2、清理系統(tǒng)盤的垃圾-WINDOWS自帶的磁盤清理，作全面清理。轉移在系統(tǒng)盤的常用軟件及音像；用WINDOWS優(yōu)化大師清理注冊表、歷史垃圾。用WINDOWS優(yōu)化大師-系統(tǒng)優(yōu)化-開機速度優(yōu)化，刪除多余的啟動項
不用刪的

WINLOGON.EXE是什么？

進程文件： winlogon or winlogon.exe
進程名稱： Microsoft Windows Logon Process

描述：
Windows Logon Process，Windows NT 用戶登陸程序，管理用戶登錄和退出。該進程的正常路徑應是 C:\Windows\System32 且是以 SYSTEM 用戶運行，若不是以上路徑且不以 SYSTEM 用戶運行，則可能是 W32.Netsky.D@mm 蠕蟲病毒，該病毒通過 EMail 郵件傳播，當你打開病毒發(fā)送的附件時，即會被感染。該病毒會創(chuàng)建 SMTP 引擎在受害者的計算機上，群發(fā)郵件進行傳播。手工清除該病毒時先結束病毒進程 winlogon.exe，然后刪除 C:\Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant mesnger 7.0 服務，位于注冊表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 鍵。

出品者： Microsoft Corp.
屬于： Microsoft Windows Operating System

系統(tǒng)進程：是
后臺程序：是
使用網(wǎng)絡：否
硬件相關：否
常見錯誤：未知N/A
內存使用：未知N/A
安全等級 (0-5): 0
間諜軟件：否
Adware: 否
病毒：否
木馬：否

winlogon.exe病毒的查殺方法
這個進程是不是一個傳奇世界程序的圖標使用51破解版?zhèn)骷覍殨a(chǎn)一個WINLOGON.EXE進程
正常的winlogon系統(tǒng)進程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。
而偽裝成該進程的木馬程序其用戶名為當前系統(tǒng)用戶名，且程序名為大寫的WINLOGON.exe。
進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現(xiàn)了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統(tǒng)用戶的話，表明可能存在木馬。這個木馬非常厲害，能破壞掉木馬克星，使其不能正常運行。目前我使用其他殺毒軟件未能查出。
那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這個病毒中的小角色而已，大家打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，呵呵，當然都是隱藏的，刪這幾個沒用的，因為她關聯(lián)了很多東西，甚至在安全模式都難搞，只要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了，呵呵，這段時間很多人被盜就是因為這個破解的傳家寶了，而且殺毒軟件查不出來，有人叫這個病毒為 ”落雪“ 是專門盜傳奇?zhèn)髌媸澜绲哪抉R，至于會不會盜其他帳號如QQ，網(wǎng)銀就看她高興了，呵呵，估計也都是一并錄制。不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個常用任務出門，其他的全部阻擋，當然大家最好盡快備份，然后關門殺毒包括方新等修改過的51pywg傳家寶，和他們破解的其他一切外掛，這次嫌疑最大的是51PYWG，至于其他合作網(wǎng)站估計也逃不了關系，特別是方新網(wǎng)站，已經(jīng)被證實過多次在網(wǎng)站放木馬，雖然他解釋是被黑了，但是不能排除其他可能，特別小心那些啟動后連接網(wǎng)站的外掛，不排除啟動器本身就有毒，反正一句話，這種啟動就連接某網(wǎng)站的破解軟件最容易放毒，至于什么時候放，怎么放，比如一天放幾個小時，都要看他怎么爽，用也盡量用那種完全本地破解驗證版的，雖然掛盟現(xiàn)在好像還沒發(fā)現(xiàn)被放馬或者自己放，但是千萬小心，，最近傳奇世界傳奇N多人被盜號，目標直指這些網(wǎng)站，以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法，注意這個假的WINLOGON.EXE是在WINDOWS下，進程里頭表現(xiàn)為當前用戶或ADMINISTRATOR.另外一個 SYSTEM的winlogon.exe是正常的，那個千萬不要亂刪，看清楚了，前面一個是大寫，后面一個是小寫，而且經(jīng)部分網(wǎng)友證實，此文件連接目的地為河南。解決“落雪”病毒的方法
癥狀：D盤雙擊打不開，里面有autorun.inf和pagefile.com文件
做這個病毒的人也太強了，在安全模式用Administrator一樣解決不了！經(jīng)過一個下午的奮戰(zhàn)才算勉強解決。我沒用什么查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。它所關聯(lián)的文件如下，絕大多數(shù)文件都是顯示為系統(tǒng)文件和隱藏的。所以要在文件夾選項里打開顯示隱藏文件。
D盤里就兩個，搞得你無法雙擊打開D盤。C盤里盤里的就多了！
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（忘了是不是這個名字了，紅色圖標有傳奇世界圖標的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那個圖標，名字忘了-_- 好大好明顯非隱藏的)
C:\Windows\system32\command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統(tǒng)文件日期一樣就不能刪，當然系統(tǒng)文件肯定不是這段時間的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
對了，看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁盤
還有一個頭號文件！WINLOGON.EXE！做了這么多工作目的就是要干掉她?。。?br />C:\Windows\WINLOGON.EXE
這個在進程里可以看得到，有兩個，一個是真的，一個是假的。
真的是小寫winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，
而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。
這個文件在進程里是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會呆在你的進程里！我現(xiàn)在所知道的就這些，要是不放心，就最好看一下其中一個文件的修改日期，然后用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的，連系統(tǒng)還原夾里都有！！這些文件會自己關聯(lián)的，要是你刪了一部分，不小心運行了一個，或在開始－運行里運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來！
知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件里頭的WINDOWS資源管理器，并在上面的工具里頭的文件夾選項里頭的查看里設置顯示所有文件和文件假，取消隱藏受保護操作系統(tǒng)文件，然后打開開始菜單的運行，輸入命令 regedit，進注冊表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一個Torjan pragramme，這個明擺著“我是木馬”，刪！！
然后注銷！重新進入系統(tǒng)后，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。到D盤（注意不要雙擊進入！否則又會激活這個病毒）右鍵，選“打開”，把autorun.inf和pagefile.com刪掉，
然后再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中一個文件，否則所有步驟都要重新來過！然后再注銷。
我在奮戰(zhàn)過程中，把那些文件刪掉后，所有的exe文件全都打不開了，運行cmd也不行。
然后，到C:\Windows\system32 里，把cmd.exe文件復制出來，比如到桌面，改名成cmd.com 嘿嘿我也會用com文件，然后雙擊這個COM文件
然后行動可以進入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc與.exe之間有空格）
ftype exefile="%1" %*
這樣exe文件就可以運行了。如果不會打命令，只要打開CMD.COM后復制上面的兩行分兩次粘貼上去執(zhí)行就可以了。
但我在弄完這些之后，在開機的進入用戶時會有些慢，并會跳出一個警告框，說文件"1"找不到。（應該是Windows下的1.com文件。）,最后用上網(wǎng)助手之類的軟件全面修復IE設置
最后說一下怎么解決開機跳出找不到文件“1.com”的方法：
在運行程序中運行“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe"
若是還是無法執(zhí)行.EXE文件，下面我們就來看看如何恢復被篡改后的.EXE文件修復工作吧。一定是某個軟件甚至可能是病毒把擴展名為EXE的文件關聯(lián)刪除或修改了，因此按照前面對話框的提示從控制面板中執(zhí)行“文件夾選項”命令，選擇“文件類型”標簽，在“已注冊的文件類型”列表中找不到擴展名EXE和它的文件關聯(lián)。試著按[新建]按鈕，在“文件擴展名”后輸入“.exe”，按[高級]按鈕，系統(tǒng)自動將其文件類型定義為“應用程序”，按[確定]按鈕后在“已注冊的文件類型”列表中出現(xiàn)了擴展名“EXE”，選擇它后按[更改]按鈕，系統(tǒng)要求選擇要使用的程序，可是到底要選擇什么應用程序來打開EXE文件？看來這個方法無效，只好按[取消]按鈕返回“文件夾選項”對話框。由于以前我從沒聽說要為擴展名為“.exe”的文件建立文件關聯(lián)，所以在“已注冊的文件類型”列表中選擇“EXE應用程序”，并按[刪除]按鈕將它刪除。由于所有EXE文件都不能執(zhí)行，所以也無法用注冊表編輯器(因為我只能運行Regedit.exe或Regedit32.exe來打開注冊表編輯器)來修改注冊表，看來只好重新啟動計算機了。在出現(xiàn)“正在啟動Windows…”時按[F8]鍵，出現(xiàn)“Windows 2000高級選項菜單”，選其中的“最后一次正確的配置”，進入Windows 2000時仍然報錯。只好再次重新啟動，這次選“安全模式”，雖然沒有報錯，但仍不能運行EXE文件。再試試“帶命令行提示的安全模式”選項，啟動成功后在命令提示符窗口的命令行輸入：help| more(“|”是管道符號，在鍵盤上位于Backspace鍵左邊)，在系統(tǒng)顯示的信息第一行我看到了如下信息“ASSOC Displays or modifies file extension associations”，大致意思是“ASSOC顯示或修改文件擴展名關聯(lián)”，按任意鍵繼續(xù)查看，又看到了如下信息“FTYPE Displays or modifies file types udin file extension associations.”，大意是“FTYPE顯示或修改用在文件擴展名關聯(lián)中的文件類型”，原來在命令提示符窗口還隱藏著這兩個特殊命令，可以用來設置文件擴展名關聯(lián)。于是，在命令行分別輸入“help assoc”和“help ftype”兩個命令獲取了它們的使用方法接著通過下面的設置，終于解決了EXE文件不能運行的故障。故障解決先在命令行command輸入：assoc .exe來顯示EXE文件關聯(lián)，系統(tǒng)顯示“沒有為擴展名.exe找到文件關聯(lián)”，難怪EXE文件都不能執(zhí)行。接著輸入：ftype | more來分屏顯示系統(tǒng)中所有的文件類型，其中有一行顯示為“exefile="%1" %*”，難道只要將EXE文件與“exefile”關聯(lián)，故障就會解決？于是在命令行輸入：assoc .exe=exefile(assoc與.exe之間有一空格)，屏幕顯示“.exe=exefile”?，F(xiàn)在關閉命令提示符窗口，按[Ctrl+Alt+Del]組合鍵調出“Windows安全”窗口，按[關機]按鈕后選擇“重新啟動”選項，按正常模式啟動Windows 2000后，所有的EXE文件都能正常運行了。另外，的利用regedit.com的方法應該是最行之有效的辦法。1、修改regedit.exe 為 regedit.com2、HKEY_CLASSES_ROOT\exefile\shell\open\command下的default,鍵值為"%1" %

清除winlogon.exe病毒與恢復EXE文件的全過程

我們黑基的帥哥kine,機器不知怎么中了winlogon.exe病毒，搞的就要重裝系統(tǒng)的下場了。那么讓我們來看看這個winlogon.exe病毒到底是什么東西的呢這么的歷害的呢，winlogon.exe病毒這個進程是不是一個傳奇世界程序的圖標使用51破解版?zhèn)骷覍殨a(chǎn)一個WINLOGON.EXE進程正常的winlogon系統(tǒng)進程，其用戶名為“SYSTEM” 程序名為小寫winlogon.exe。而偽裝成該進程的木馬程序其用戶名為當前系統(tǒng)用戶名，且程序名為大寫的WINLOGON.exe。進程查看方式 ctrl+alt+del 然后選擇進程。正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。如果出現(xiàn)了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統(tǒng)用戶的話，表明可能存在木馬。