winlogon.exe一般占用多少内存(电脑关机出现winlogon.exe错误)

Windows登录进程，Windows NT用户登录程序，管理用户登录和注销。该进程的正常路径应该是C:\Windows\System32，并以系统用户身份运行。

如果不是上述路径，也不是以系统用户身份运行，可能是W32。Netsky.D@mm蠕虫，通过邮件传播。当你打开病毒发送的附件时，它就会被感染。

文件信息

软件大小：267KB

软件星级：2.5

软件语言：简体中文

开发者：主页

软件类别：国产软件

软件许可证：免费版本

更新时间：2010年2月-0814: 35: 36

应用平台：9x/XP/2K/Vista[1]

进程信息

进程文件：winlogon或winlogon.exe

Process name: Microsoft Windows login process

描述：

该病毒会在受害者的电脑上创建一个SMTP引擎，并发送大量邮件进行传播。当手动清除病毒时，首先结束病毒进程，winlogon.exe，

然后删除C:\Windows目录下的winlogon.exe、winlogon.dll、winlogon_hook.dll和winlogonkey.dll文件，

And then clear AOL instant messaging 7.0 service,

位于注册表[HKEY _ LOCAL _ MACHINE \ SYSTEM \ current control set \ Services]下的aol7.0键。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 目前未知

内存使用： 目前未知

安全等级(0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马： 否

检查Winlogon.exe是否正常

由于Winlogon.exe是系统启动必需的进程、非常重要，所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的，当你感染它之后，

它就会自动把自己的进程插入到Winlogon.exe进程中；以后一旦你启动系统，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分网络防火墙的拦截。

正因为Winlogon.exe特别容易染上病毒和木马，所以关注Winlogon.exe是否染毒就很有必要了，那么如何检查Winlogon.exe是否正常呢？建议你从以下几点来考察：

检查Winlogon.exe的名称与路径

与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样，Winlogon.exe的名称也是不区分大小写的，假如你在任务管理器中发现，

Winlogon.exe有时是大写、有时又是小写，这也是正常的!不过你可要仔细检查，其名称中那个“O”到底是字母O、还是数字0?如果是数字0，Winlog0n.exe肯定就是病毒啦!

其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以SYSTEM 用户运行的。

如果你在任务管理器中发现它是以非SYSTEM 用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病毒了!

Winlogon.exe不会自动要求连接网络

Winlogon.exe是一个本地进程，所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4，[2]发现在进程列表中有Winlogon.exe进程打开某端口监听、要求连接网络，

那么这个Winlogon.exe肯定是被木马程序劫持了，应该尽快清除之。

另外建议你运行一下软件Auto runs，然后选择Winlogon.exe，检查它启动了哪些文件。正常情况下，Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件，

具体名称如下，如果不是这些文件，就非常可疑了!

经案例

最近出现一个名为“落雪”的病毒，这个病毒非常厉害，能破坏木马克星，使其不能正常运行。它由VB 程序语言编写，通过北斗壳加壳处理，该木马文件图标一般是红色的图案，伪装成网络游戏的登录器。病毒运行后，

在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见。事实上这14个不同文件名的病毒文件系同一种文件，

“落雪”之名亦可能由此而来。该木马另一狡诈之处就是创建一名为winlogon.exe的进程，

并把其路径指向c:\windows\winlogon.exe（正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe），以此达到迷惑用户的目的。

不可或缺的Winlogon

悟空问道：“教授，今天我们学习哪个进程啊？”谭教授：“悟空，你每天启动操作系统的时候，有没有想过系统的启动和哪些进程有关呢？”看着悟空抓耳挠腮的样子，谭教授明白他一定是没有注意到，

于是说：“今天我们就来讲解一下这个和系统启动相关的进程——Winlogon.exe。”

小知识：Winlogon.exe是Windows NT登录管理器。它用于处理用户系统的登录和登录过程，并且管理用户的登录和退出。Winlogon在用户按下Ctrl+Alt+Del时就激活了，

显示安全对话框。该进程在用户系统中的作用是非常重要的。

看完前面的介绍，经常玩游戏的八戒说道：“通过这几期的学习后我发现，这些高危的进程常常被病毒、木马、后门所利用。木马文件名都模拟成正常的系统工具名称，但是文件扩展名变成了‘.com’，为什么会这样呢？”

谭教授解释道：“是因为windows操作系统执行.com文件的优先级比.exe文件高的特性。比如木马命名为Regedit.com，当用户调用注册表编辑器Regedit.exe的时候，

一般习惯输入Regedit，而这时执行的并不是微软的Regedit.exe程序，而是木马文件Regedit.com，由此也可以看出木马作者的‘用心良苦’。”

悟空马上接茬：“怪不得注册表被加密后，人们将Regedit.exe改为Regedit.com就可以解密了。”谭教授对悟空的表现感到非常的欣慰。

突然悟空又挠着头说道：“通过前面几期的讲解，我已经对这些病毒、木马迷惑用户的方法略知一二。那么除了通过相似的名称，以及改变原有路径来进行以假乱真以外，

我常常听网友说通过进程名称的大小写也可以进行分辨？”

“这个我也经常听说，但是我觉得这样分辨不科学，因为进程名称的大小写是根据文件名称的大小写来决定的。”谭教授解释道。