WINLOGON.EXE是个什么什么？

双一姐姐

我现在游戏玩不起来 启动的时候就显示WINLOGON.EXE在运行，游戏无法进行。

我用杀毒软件杀的MS米反映的说，我手动去删除却删除不了。

斑竹帮看下哈，还有我用hijackthis如下的结果


Logfile of HijackThis v1.99.1
Scan saved at 20:28:05, on 2006-8-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\WinServer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Server.exe
C:\Program Files\Rising\Rav\RsAgent.exe
C:\WINDOWS\system32\wsetup.exe
F:\TT\TTraveler.exe
C:\WINDOWS\system32\winmer.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\4.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\cb\LOCALS~1\Temp\oprar.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\Rundll32.exe
D:\HijackThis.exe
C:\WINDOWS\WINLOGON.EXE
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: internet explorer helper - {02C9B9AB-6372-46C5-B356-773FAF3B6B1E} - C:\WINDOWS\fonts\msshapi.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\海豚QQ\htworkroom\QQIEHelper.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - (no file)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\迅雷\ComDlls\XunLeiBHO_002.dll
O2 - BHO: (no name) - {8D139DD1-6BB5-4103-8C89-41560FF2E107} - C:\WINDOWS\system32\3721_5.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - Toolbar: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Soltek] C:\WINDOWS\system32\autorun.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\暴风\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [WinSever] C:\WINDOWS\system32\WinServer.exe
O4 - HKLM\..\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: [Systems32] C:\WINDOWS\system32\Server.exe
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\新建文件夹 (2)\AddEmotion.htm
O8 - Extra context menu item: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\新建文件夹 (2)\SendMMS.htm
O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\迅雷\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - E:\迅雷\Thunder.exe
O9 - Extra button: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)

rockwei

在任务管理器中，该程序的用户名应属于system。。。
是一个必要的常驻程序。。。

xiaobin

如果这个进程有两个，另外一个的用户名不是某R说的那个……估计应该是专盗传奇号的木马“落雪”了，我网友曾经中过，瑞星被废掉了……

双一姐姐

是木马  怎么办？

cc9007

winlogon - winlogon.exe - 进程信息


winlogon - winlogon.exe - 进程信息

进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
常见错误: N/A
是否为系统进程: 是

双一姐姐

[quote=cc9007]winlogon - winlogon.exe - 进程信息


winlogon - winlogon.exe - 进程信息

进程文件: winlogon or ...[/quote]

是个木马呀 反正不是那个正常的winlogon，他阻止我玩跑跑卡丁车


而且我电脑现在变得神经西西的 开机狂慢无比  反正现在极度不怎么正常啊

xiaobin

重装吧……当初我网友就是这样解决的……而且，她中了之后，连QQ也不敢上……

cc9007

经cc分析，您的电脑中了VIPTray.exe

VIPTray.exe简单分析

论坛里面看见很多人电脑上中了VipTray.exe，
网友给我们发来了样本文件， 非常感谢。


然后我反运行后， 监视文件和注册表， 发现没什么反应。

后来反汇编， 分析， 发现这个VipTray.exe 会从
[U]http://ulink4,dudu,com/setup/iebar,exe[/U]

下载一个iebar.exe, 并让用户安装。

而这个里面捆绑了后门。




安装完iebar.exe会修改注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

修改键值system 为 C:\WINNT\system32\friendly.exe ZNKwcxv=

创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

DLL名称为 WinDefendor.dll

同时 VipTray 会注册成系统服务。

服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止，将会失去这些功能和内容。如果此服务被禁用，其他依赖此服务的网络内容将无法正常运行。


生成的文件有：

c:\WINNT\system32\VIPTray.exe
c:\WINNT\system32\WinDefendor.dll
c:\WINNT\system32\friendly.exe
或:C:\WINDOWS\system32\VIPTray.exe
C:\WINDOWS\system32\WinDefendor.dll
C:\WINDOWS\system32\friendly.exe



清除方法：
使用安全重启， 然后删除掉这三个文件，就可以了。


VIPTray专杀工具.rar

http://pickup.mofile.com/9369331903736242

双一姐姐

[quote=xiaobin]重装吧……当初我网友就是这样解决的……而且，她中了之后，连QQ也不敢上……[/quote]

我正在上QQ呢 为不能上QQ啊

双一姐姐

[quote=cc9007]经cc分析，您的电脑中了VIPTray.exe

VIPTray.exe简单分析

论坛里面看见很多人电脑上中了VipTray.exe，
网友给我们发来了样本文件， 非常感谢。


然后我反运行后， 监视文件和注册表， 发现没什么反应。

后来反汇编， 分析， 发现这个VipTra...[/quote]

我又完全没看懂

cc9007

至于winlogon.exe这个我没有分析，因为Hijackthis描述的不完整

cc9007

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\暴风\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [WinSever] C:\WINDOWS\system32\WinServer.exe
O4 - HKLM\..\Run: [intranet] C:\WINDOWS\system32\intranet.exe
O4 - HKLM\..\Run: [Systems32] C:\WINDOWS\system32\Server.exe
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-Bar.lnk = C:\Program Files\Common Files\IE-Bar\iebar.exe
O8 - Extra context menu item: &使用迅雷下载 - E:\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - E:\迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\新建文件夹 (2)\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\新建文件夹 (2)\AddPanel.htm


这个就是导致你启动速度慢的原因

双一姐姐

我越发的郁闷了  怎么办呀 又要重装  很烦人

xiaobin

打开任务管理器，这两个winlogon.exe的用户名分别是什么？

cc9007

xiaobin  其实看进程的PID比看用户名好，真的winlogon会在假的前面启动，所以真的PID的数字会比假的小，还有，系统的PID的数值不会太大。

rockwei

下载RogueCleaner软件
里面可杀那个IE-bar及多种恶意程序。。。

双一姐姐

da xie de shi wo zi ji de ming zi
xiao xie de shi xi tong
wo xian zai da zi da bu qi lai
wang ye kai bu qi lai
wo xia le
  gu ji yi ding yao zhuang xi tong le

双一姐姐

[quote=rockwei]下载RogueCleaner软件
里面可杀那个IE-bar及多种恶意程序。。。[/quote]mei you yong
xian zai wen ti da le

rockwei

连汉字没得玩了。。。。

xiaobin

[quote=cc9007]xiaobin 其实看进程的PID比看用户名好，真的winlogon会在假的前面启动，所以真的PID的数字会比假的小，还有，系统的PID的数值不会太大。[/quote]

:016: 我只是认定用户名非system的winlogon大概就是木马了……