WINLOGON.EXE是个什么什么?
我现在游戏玩不起来 启动的时候就显示WINLOGON.EXE在运行,游戏无法进行。我用杀毒软件杀的MS米反映的说,我手动去删除却删除不了。
斑竹帮看下哈,还有我用hijackthis如下的结果
Logfile of HijackThis v1.99.1
Scan saved at 20:28:05, on 2006-8-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WinServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Server.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\system32\wsetup.exe
F:\TT\TTraveler.exe
C:\WINDOWS\system32\winmer.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\4.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\oprar.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\Rundll32.exe
D:\HijackThis.exe
C:\WINDOWS\WINLOGON.EXE
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: internet explorer helper - {02C9B9AB-6372-46C5-B356-773FAF3B6B1E} - C:\WINDOWS\fonts\msshapi.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\海豚QQ\htworkroom\QQIEHelper.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\迅雷\ComDlls\XunLeiBHO_002.dll
O2 - BHO: (no name) - {8D139DD1-6BB5-4103-8C89-41560FF2E107} - C:\WINDOWS\system32\3721_5.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - Toolbar: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - (no file)
O4 - HKLM\..\Run: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: C:\WINDOWS\system32\autorun.exe
O4 - HKLM\..\Run: SOUNDMAN.EXE
O4 - HKLM\..\Run: "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"-osboot
O4 - HKLM\..\Run: Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: "D:\暴风\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: C:\WINDOWS\system32\WinServer.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\Server.exe
O4 - HKLM\..\Run: C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\迅雷\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\迅雷\Thunder.exe
O9 - Extra button: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
回复: WINLOGON.EXE是个什么什么?
在任务管理器中,该程序的用户名应属于system。。。是一个必要的常驻程序。。。
回复: WINLOGON.EXE是个什么什么?
如果这个进程有两个,另外一个的用户名不是某R说的那个……估计应该是专盗传奇号的木马“落雪”了,我网友曾经中过,瑞星被废掉了……回复: WINLOGON.EXE是个什么什么?
是木马怎么办?回复: WINLOGON.EXE是个什么什么?
winlogon - winlogon.exe - 进程信息winlogon - winlogon.exe - 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
常见错误: N/A
是否为系统进程: 是
回复: WINLOGON.EXE是个什么什么?
winlogon - winlogon.exe - 进程信息winlogon - winlogon.exe - 进程信息
进程文件: winlogon or ...
是个木马呀 反正不是那个正常的winlogon,他阻止我玩跑跑卡丁车
而且我电脑现在变得神经西西的 开机狂慢无比反正现在极度不怎么正常啊
回复: WINLOGON.EXE是个什么什么?
重装吧……当初我网友就是这样解决的……而且,她中了之后,连QQ也不敢上……回复: WINLOGON.EXE是个什么什么?
经cc分析,您的电脑中了VIPTray.exeVIPTray.exe简单分析
论坛里面看见很多人电脑上中了VipTray.exe,
网友给我们发来了样本文件, 非常感谢。
然后我反运行后, 监视文件和注册表, 发现没什么反应。
后来反汇编, 分析, 发现这个VipTray.exe 会从
http://ulink4,dudu,com/setup/iebar,exe
下载一个iebar.exe, 并让用户安装。
而这个里面捆绑了后门。
安装完iebar.exe会修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
修改键值system 为 C:\WINNT\system32\friendly.exe ZNKwcxv=
创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
DLL名称为 WinDefendor.dll
同时 VipTray 会注册成系统服务。
服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止,将会失去这些功能和内容。如果此服务被禁用,其他依赖此服务的网络内容将无法正常运行。
生成的文件有:
c:\WINNT\system32\VIPTray.exe
c:\WINNT\system32\WinDefendor.dll
c:\WINNT\system32\friendly.exe
或:C:\WINDOWS\system32\VIPTray.exe
C:\WINDOWS\system32\WinDefendor.dll
C:\WINDOWS\system32\friendly.exe
清除方法:
使用安全重启, 然后删除掉这三个文件,就可以了。
VIPTray专杀工具.rar
http://pickup.mofile.com/9369331903736242
回复: WINLOGON.EXE是个什么什么?
重装吧……当初我网友就是这样解决的……而且,她中了之后,连QQ也不敢上……我正在上QQ呢 为不能上QQ啊
回复: WINLOGON.EXE是个什么什么?
经cc分析,您的电脑中了VIPTray.exeVIPTray.exe简单分析
论坛里面看见很多人电脑上中了VipTray.exe,
网友给我们发来了样本文件, 非常感谢。
然后我反运行后, 监视文件和注册表, 发现没什么反应。
后来反汇编, 分析, 发现这个VipTra...
我又完全没看懂
回复: WINLOGON.EXE是个什么什么?
至于winlogon.exe这个我没有分析,因为Hijackthis描述的不完整回复: WINLOGON.EXE是个什么什么?
O4 - HKLM\..\Run: "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: "D:\暴风\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: C:\WINDOWS\system32\WinServer.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: C:\WINDOWS\system32\Server.exe
O4 - HKLM\..\Run: C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
这个就是导致你启动速度慢的原因
回复: WINLOGON.EXE是个什么什么?
我越发的郁闷了怎么办呀 又要重装很烦人回复: WINLOGON.EXE是个什么什么?
打开任务管理器,这两个winlogon.exe的用户名分别是什么?回复: WINLOGON.EXE是个什么什么?
xiaobin其实看进程的PID比看用户名好,真的winlogon会在假的前面启动,所以真的PID的数字会比假的小,还有,系统的PID的数值不会太大。回复: WINLOGON.EXE是个什么什么?
下载RogueCleaner软件里面可杀那个IE-bar及多种恶意程序。。。
回复: WINLOGON.EXE是个什么什么?
da xie de shi wo zi ji de ming zixiao xie de shi xi tong
wo xian zai da zi da bu qi lai
wang ye kai bu qi lai
wo xia le
gu ji yi ding yao zhuang xi tong le
回复: WINLOGON.EXE是个什么什么?
下载RogueCleaner软件里面可杀那个IE-bar及多种恶意程序。。。mei you yong
xian zai wen ti da le
回复: WINLOGON.EXE是个什么什么?
连汉字没得玩了。。。。回复: WINLOGON.EXE是个什么什么?
xiaobin 其实看进程的PID比看用户名好,真的winlogon会在假的前面启动,所以真的PID的数字会比假的小,还有,系统的PID的数值不会太大。:016: 我只是认定用户名非system的winlogon大概就是木马了……