关于一个一闪而过的任务进程
关于一个一闪而过的任务进程
事。。。不是病毒
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行
若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。
进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。如何检查你的Winlogon.exe是否正常
由于Winlogon.exe是系统启动必需的进程、非常重要,所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的,当你感染它之后,它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统,PcShare就会随Winlogon.exe一起运行,而且还能躲过大部分网络防火墙的拦截。
正因为Winlogon.exe特别容易染上病毒和木马,所以关注Winlogon.exe是否染毒就很有必要了,那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察:
1、检查Winlogon.exe的名称与路径
与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样,Winlogon.exe的名称也是不区分大小写的,假如你在任务管理器中发现,Winlogon.exe有时是大写、有时又是小写,这也是正常的!不过你可要仔细检查,其名称中那个“O”到底是字母O、还是数字0?如果是数字0,Winlog0n.exe肯定就是病毒啦!
其次还要检查Winlogon.exe所在的路径,正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的,或者其所在路径是%Windows%,那么这个Winlogon.exe肯定也染上病毒了!
2、Winlogon.exe不会自动要求连接网络
Winlogon.exe是一个本地进程,所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4,[1][2][3]发现在进程列表中有Winlogon.exe进程打开某端口监听、要求连接网络,那么这个Winlogon.exe肯定是被木马程序劫持了,应该尽快清除之。
另外建议你运行一下软件Auto runs,然后选择Winlogon.exe,检查它启动了哪些文件。正常情况下,Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件,具体名称如下,如果不是这些文件,就非常可疑了!(摘自百度百科)
老掉牙的病毒了。。。如果是病毒杀毒软件会查出来的。。
绿竹别其三分景 红梅正报万家春 春回大地