1、這個進程是不是一個傳奇世界程序的圖標使用51破解版傳家寶會生產一個WINLOGON.EXE進程正常的winlogon系統進程，其用戶名為“SYSTEM”程序名為小寫winlogon.exe。

(相關資料圖)

2、而偽裝成該進程的木馬程序其用戶名為當前系統用戶名，且程序名為大寫的WINLOGON.exe。

3、進程查看方式ctrl+alt+del然后選擇進程。

4、正常情況下有且只有一個winlogon.exe進程，其用戶名為“SYSTEM”。

5、如果出現了兩個winlogon.exe，且其中一個為大寫，用戶名為當前系統用戶的話，表明可能存在木馬。

6、這個木馬非常厲害，能破壞掉木馬克星，使其不能正常運行。

7、目前我使用其他殺毒軟件未能查出。

8、那個WINDOWS下的WINLOGON.EXE確實是病毒，但是，她不過是這個病毒中的小角色而已，大家打開D盤看看是否有一個pagefile的DOS指向文件和一個autorun.inf文件了，呵呵，當然都是隱藏的，刪這幾個沒用的，因為她關聯了很多東西，甚至在安全模式都難搞，只要運行任何程序，或者雙擊打開D盤，她就會重新被安裝了，呵呵，這段時間很多人被盜就是因為這個破解的傳家寶了，而且殺毒軟件查不出來，有人叫這個病毒為”落雪“是專門盜傳奇傳奇世界的木馬，至于會不會盜其他帳號如QQ，網銀就看她高興了，呵呵，估計也都是一并錄制。

9、不怕毒和要減少損失的最好開啟防火墻阻止除了自己信任的幾個常用任務出門，其他的全部阻擋，當然大家最好盡快備份，然后關門殺毒包括方新等修改過的51pywg傳家寶，和他們破解的其他一切外掛，這次嫌疑最大的是51PYWG，至于其他合作網站估計也逃不了關系，特別是方新網站，已經被證實過多次在網站放木馬，雖然他解釋是被黑了，但是不能排除其他可能，特別小心那些啟動后連接網站的外掛，不排除啟動器本身就有毒，反正一句話，這種啟動就連接某網站的破解軟件最容易放毒，至于什么時候放，怎么方，比如一天放幾個小時，都要看他怎么爽，用也盡量用那種完全本地破解驗證版的，雖然掛盟現在好像還沒發現被放馬或者自己放，但是千萬小心，，最近傳奇世界傳奇N多人被盜號，目標直指這些網站，以下是最近特別毒的WINLOGON.EXE盜號病毒清除方法，注意這個假的WINLOGON.EXE是在WINDOWS下，進程里頭表現為當前用戶或ADMINISTRATOR.另外一個SYSTEM的winlogon.exe是正常的，那個千萬不要亂刪，看清楚了，前面一個是大寫，后面一個是小寫，而且經部分網友證實，此文件連接目的地為河南。

10、解決“落雪”病毒的方法癥狀：D盤雙擊打不開，里面有autorun.inf和pagefile.com文件做這個病毒的人也太強了，在安全模式用Administrator一樣解決不了！經過一個下午的奮戰才算勉強解決。

11、我沒用什么查殺木馬的軟件，全是手動一個一個把它揪出來把他刪掉的。

12、它所關聯的文件如下，絕大多數文件都是顯示為系統文件和隱藏的。

13、所以要在文件夾選項里打開顯示隱藏文件。

14、D盤里就兩個，搞得你無法雙擊打開D盤。

15、C盤里盤里的就多了！D:autorun.infD:pagefile.comC:ProgramFilesInternetExploreriexplore.comC:ProgramFilesCommonFilesiexplore.comC:WINDOWS1.comC:WINDOWSiexplore.comC:WINDOWSfinder.comC:WINDOWSExeroud.exe（忘了是不是這個名字了，紅色圖標有傳奇世界圖標的）C:WINDOWSDebug***Programme.exe(也是上面那個圖標，名字忘了-_-好大好明顯非隱藏的)C:Windowssystem32command.com這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他文件日期一樣，如果和其他文件大部分系統文件日期一樣就不能刪，當然系統文件肯定不是這段時間的。

16、C:Windowssystem32msconfig.comC:Windowssystem32egedit.comC:Windowssystem32dxdiag.comC:Windowssystem32undll32.comC:Windowssystem32finder.comC:Windowssystem32a.exe對了，看看這些文件的日期，看看其他地方還有沒有相同時間的文件還是.COM結尾的可疑文件，小心不要運行任何程序，要不就又啟動了，包括雙擊磁盤還有一個頭號文件！WINLOGON.EXE！做了這么多工作目的就是要干掉她?。?！C:WindowsWINLOGON.EXE這個在進程里可以看得到，有兩個，一個是真的，一個是假的。

17、真的是小寫winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，而假的是大寫的WINLOGON.EXE，用戶名是你自己的用戶名。

18、這個文件在進程里是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會呆在你的進程里！我現在所知道的就這些，要是不放心，就最好看一下其中一個文件的修改日期，然后用“搜索”搜這天修改過的文件，相同時間的肯定會出來一大堆的，連系統還原夾里都有?。∵@些文件會自己關聯的，要是你刪了一部分，不小心運行了一個，或在開始－運行里運行msocnfig，command，regedit這些命令，所有的這些文件全會自己補充回來！知道了這些文件，首先關閉可以關閉的所有程序，打開程序附件里頭的WINDOWS資源管理器，并在上面的工具里頭的文件夾選項里頭的查看里設置顯示所有文件和文件假，取消隱藏受保護操作系統文件，然后打開開始菜單的運行，輸入命令regedit，進注冊表，到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun里面，有一個Torjanpragramme，這個明擺著“我是木馬”，刪??！然后注銷！重新進入系統后，打開“任務管理器”，看看有沒rundll32，有的話先中止了，不知這個是真還是假，小心為好。

19、到D盤（注意不要雙擊進入！否則又會激活這個病毒）右鍵，選“打開”，把autorun.inf和pagefile.com刪掉，然后再到C盤把上面所列出來的文件都刪掉！中途注意不要雙擊到其中一個文件，否則所有步驟都要重新來過！然后再注銷。

20、我在奮戰過程中，把那些文件刪掉后，所有的exe文件全都打不開了，運行cmd也不行。

21、然后，到C:Windowssystem32里，把cmd.exe文件復制出來，比如到桌面，改名成cmd.com嘿嘿我也會用com文件，然后雙擊這個COM文件然后行動可以進入到DOS下的命令提示符。

22、再打入以下的命令：assoc.exe=exefile（assoc與.exe之間有空格）ftypeexefile="%1"%*這樣exe文件就可以運行了。

23、如果不會打命令，只要打開CMD.COM后復制上面的兩行分兩次粘貼上去執行就可以了。

24、但我在弄完這些之后，在開機的進入用戶時會有些慢，并會跳出一個警告框，說文件"1"找不到。

25、（應該是Windows下的1.com文件。

26、）,最后用上網助手之類的軟件全面修復IE設置最后說一下怎么解決開機跳出找不到文件“1.com”的方法：在運行程序中運行“regedit”，打開注冊表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon]中把"Shell"="Explorer.exe1"恢復為"Shell"="Explorer.exe"大功告成！大家分享一下吧！你好朋友，winlogon.exe 是控制你的系統登陸的程序,logon就是登陸的意思.如果,你感覺啟動比平時慢很多,說明很有可能你的機器染毒了,要殺毒.建議使用360殺毒軟件2.0進行病毒查殺;可能原登陸程序winlogon.exe邏輯被破壞了,并且會出現藍屏,這都是病毒的征兆,winlogon.exe是系統絕對核心進程，用來管理系統用戶登陸！若winlogon.exe出現故障，會直接導致機器藍屏并不斷重啟！鑒于此種情況，若winlogon.exe故障不是病毒或木馬導致，建議直接修復一下系統；若是病毒或木馬程序導致，建議直接格式化重裝系統！這是解決該問題的唯一方法 希望我的回答對你有幫助。

本文到此分享完畢，希望對大家有所幫助。

關鍵詞