Windows Logon Process，Windows NT 用户登🚦陆程序【lù chéng xù】，管理用❕户登录和退出🤑。该进程【gāi jìn chéng】🎖的正常路径应🥅是 C:\Windows\System32 且是以【yǐ】🐸 SYSTEM 用户运行【háng】，若不是【ruò bú shì】以【yǐ】上路🧣径且不【jìng qiě bú】👓以【yǐ】🐸 SYSTEM 用户运行【háng】，则可能【zé kě néng】是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过【tōng guò】 EMail 邮件传播【bō】，当你打🤧开病毒发送的附件时【fù jiàn shí】，即会被💄感染。

文件信息

软件【ruǎn jiàn】🍦大小：267KB
软件【ruǎn jiàn】星🏍级：2.5
软件【ruǎn jiàn】🍦语言【yǔ yán】🔉：中文简体【tǐ】
开 发🦍 商【shāng】🤓：HOMEPAGE
软件【ruǎn jiàn】🍦类别【lèi bié】：国产软件【ruǎn jiàn】🍦
软件【ruǎn jiàn】🍦授权🦖：免费版本⛳
更新时【gèng xīn shí】间：2025-07-0514:35:36
应用平【yīng yòng píng】台：9x/XP/2K/Vista[1]

进程信息

进程文【jìn chéng wén】件🛣： winlogon or winlogon.exe
进程名【jìn chéng míng】🌏称： Microsoft Windows Logon Process
描述👣：
该病毒会创建【huì chuàng jiàn】😘 SMTP 引擎在受害者📜的【de】👫计算机【jì suàn jī】上【shàng】，群发邮【qún fā yóu】💌件进行🌦传播。手工清除该病毒时先➖结束病🔯毒进程 winlogon.exe，然后删除 C:\Windows 目录下的【de】👫 winlogon.exe、winlogon.dll、winlogon_hook.dll 和🥘 winlogonkey.dll 文件🛣，再清除 AOL instant messenger 7.0 服务【fú wù】，位于注册表【cè biǎo】🔹 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的【de】👫 aol7.0 键【jiàn】💀。
出品者： Microsoft Corp.
属于： Microsoft Windows Operating System
系统进【xì tǒng jìn】程： 是
后台程序： 是
使用【yòng】🌫网络⏭： 否【fǒu】🔪
硬件相【yìng jiàn xiàng】关： 否【fǒu】🔪
常见错误【wù】🦄： 目前未知【zhī】
内存使用【yòng】🌫： 目前未知【zhī】
安全等【ān quán děng】级 (0-5): 0
间谍软🌘件： 否【fǒu】🔪
Adware: 否【fǒu】🔪
病毒： 否【fǒu】🔪
木马【mù mǎ】🥙： 否【fǒu】🔪

检查Winlogon.exe是否正常

由于Winlogon.exe是系统♊启动必【qǐ dòng bì】需的【xū de】🎶进程【jìn chéng】🔂、非【fēi】常重💗要，所以目🛃前很多木马程【mù mǎ chéng】🔂序都盯【xù dōu dīng】上了它【shàng le tā】🌔!例如国产木马【chǎn mù mǎ】🖖程【chéng】序中📒有个叫🥈PcShare的【de】🎶，当你感染它之【zhī】后，它就会自动把【zì dòng bǎ】自己的【de】🎶进程【jìn chéng】🔂插入到Winlogon.exe进程【jìn chéng】🔂中;以后一🌚旦你启🛤动系统🚊，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分【dà bù fèn】👱网络【luò】⚫防火墙【fáng huǒ qiáng】的【de】🗨拦截。
正因为Winlogon.exe特别容【tè bié róng】📪易染上【yì rǎn shàng】病毒和木马【mù mǎ】，所以🏟关注【guān zhù】🐅Winlogon.exe是否染【shì fǒu rǎn】🐃毒就很有必要【yǒu bì yào】了【le】，那么如何检查【hé jiǎn chá】🐹Winlogon.exe是否正常呢?建议你【jiàn yì nǐ】👫从以下🌐几点来💂考察：
检查🐹Winlogon.exe的【de】🎶名称与【míng chēng yǔ】路径
与其他系统进程【jìn chéng】🔂(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等【děng】)一样，Winlogon.exe的【de】🎶名称也是不区【shì bú qū】分大小【fèn dà xiǎo】写的【de】🎶，假如你👻在任务🥁管理器【guǎn lǐ qì】📎中发现【zhōng fā xiàn】，Winlogon.exe有时是大写👩、有时又🏳是小写，这也是正常的【de】🎶!不过你可要仔【kě yào zǎi】⛄细检查🐹，其名称🤯中那个🦕“O”到底是【dào dǐ shì】字【zì】母O、还是数【hái shì shù】字【zì】0?如果是【rú guǒ shì】数字【shù zì】0，Winlog0n.exe肯定就是病毒✔啦【lā】!
其次还要检查🏿Winlogon.exe所在的【de】🎶路径，正常的【de】🎶Winlogon.exe应该位于C:\Windows\System32目录下、并且是以🏟 SYSTEM 用户运【yòng hù yùn】行的【de】🐫。如果你在任务🥁管理器【guǎn lǐ qì】📎中发现【zhōng fā xiàn】它是以【tā shì yǐ】🏟非【fēi】SYSTEM 用户运【yòng hù yùn】行的【de】🐫，或者其📁所在路径是%Windows%，那么这个🆓Winlogon.exe肯定也【kěn dìng yě】染上病毒了【dú le】!
Winlogon.exe不会自【bú huì zì】动要求🅿连接网【lián jiē wǎng】🚥络【luò】⚫
Winlogon.exe是一个😤本地进🚠程【chéng】🔂，所以🏟它是绝【tā shì jué】对📁不会自【bú huì zì】动要求🅿连接网【lián jiē wǎng】🚥络【luò】⚫的【de】🎶!假如你👻启动【qǐ dòng】TCPView2.4，[2]发现在🍺进程【jìn chéng】列🕘表中有Winlogon.exe进程【jìn chéng】🔂打开某【dǎ kāi mǒu】端【duān】🌼口监听📹、要求连接网【lián jiē wǎng】🚥络【luò】⚫，那么这个🆓Winlogon.exe肯定是被木马程【mù mǎ chéng】🔂序劫持【xù jié chí】了【le】，应该尽快清除【kuài qīng chú】😛之【zhī】。
另外建🈚议你运行一下软件【ruǎn jiàn】🍰Auto runs，然后选〽择Winlogon.exe，检查🐹它启动【qǐ dòng】了【le】🔥哪些文件【jiàn】。正常情【zhèng cháng qíng】📶况下，Winlogon.exe应该启动【qǐ dòng】了【le】🔥1个🆓执行文件【jiàn】logonui.exe和6个🆓dll文件【jiàn】，具体名【jù tǐ míng】称如下，如果不是这些文件【jiàn】，就非常【jiù fēi cháng】🦒可疑了【le】!

经案例

最近出🥊现一个🗑名为【míng wéi】“落雪🤐”的病毒⛓，这个病【zhè gè bìng】毒非常♟厉害，能破坏【néng pò huài】木马克🧛星，使其不🌐能正常🖤运行。它由【tā yóu】VB 程序语📁言编写，通过北斗壳加壳处理，该木马🕕文件【wén jiàn】图标一般是红色🐕的图案，伪装成【wěi zhuāng chéng】网络游戏的登【xì de dēng】录器。病毒运行后【háng hòu】，在【zài】😾C盘program file以及windows目录下😯生成winlogon.exe、regedit.com等【děng】14个病毒【gè bìng dú】文件【wén jiàn】，病毒文件【wén jiàn】之多🙏比较少【bǐ jiào shǎo】见📰。事实上🅿这14个不同文件名【wén jiàn míng】的病毒⛓文件【wén jiàn】系同一种文件【wén jiàn】，“落雪🤐”之名亦📶可能由【kě néng yóu】此而来【cǐ ér lái】。该木马🕕另一狡【lìng yī jiǎo】诈之处【zhà zhī chù】就是【jiù shì】💀创建一名为【míng wéi】winlogon.exe的进程，并把其【bìng bǎ qí】🏝路径指向【xiàng】c:\windows\winlogon.exe（正常的系统进程路径【chéng lù jìng】😾是💀C:\WINDOWS\system32\ winlogon.exe），以此达📺到迷惑用户的目的。

不可或缺的Winlogon

悟空问⏰道🐌：“教授，今天我【jīn tiān wǒ】🙋们学习哪个进🚋程【chéng】🆙啊？”谭教授【tán jiāo shòu】：“悟空，你每天启动操作系统【zuò xì tǒng】👌的时候【de shí hòu】，有没有【yǒu méi yǒu】🐀想过系统的启🤺动和哪些进程【chéng】🕺有关呢【yǒu guān ne】？”看着悟空抓耳挠腮的样子【yàng zǐ】📫，谭教授【tán jiāo shòu】明白他一定是没有注⌛意到，于是说【yú shì shuō】：“今天我【jīn tiān wǒ】🙋们就来📝讲解一下这个【xià zhè gè】和系统启动相关的进【guān de jìn】程【chéng】🆙——Winlogon.exe。”

小知识：Winlogon.exe是💹Windows NT登录管🍤理器。它用于🚖处理用【chù lǐ yòng】户系统【hù xì tǒng】的登录🎬和登录过程，并且管理用户的登录🎬和退出😚。Winlogon在用户【zài yòng hù】按下【àn xià】🏧Ctrl+Alt+Del时就激活了，显示安全对话【quán duì huà】👴框【kuàng】。该进程在用户【zài yòng hù】系统中【xì tǒng zhōng】的作用【de zuò yòng】是非常🦑重要的。

看完前🧘面的介【miàn de jiè】😀绍【shào】📑，经常玩游戏的【yóu xì de】八戒说道➡：“通过这几期的【jǐ qī de】学习后【xué xí hòu】我发现，这些高危的进📔程常常被病毒、木马、后门所【hòu mén suǒ】🚀利用😍。木马文🧘件名都【jiàn míng dōu】模拟成正常的系统工💅具名称，但是文件扩展名变成【míng biàn chéng】💳了【le】‘.com’，为什么会这样呢【ne】？”

谭教授【tán jiāo shòu】解释道：“是因为【shì yīn wéi】Windows操作系🌞统执行【tǒng zhí háng】🍩.com文件的😇优先级【yōu xiān jí】💪比.exe文件高的特性。比如木马命名为【wéi】Regedit.com，当用户调用注【diào yòng zhù】🔡册表编🕘辑器Regedit.exe的时候【de shí hòu】🔎，一般习【yī bān xí】惯输入Regedit，而这时🅾执行的🏺并不是微软的Regedit.exe程序，而是木【ér shì mù】马文件【mǎ wén jiàn】Regedit.com，由此也可以看【kě yǐ kàn】出木马【chū mù mǎ】作者的🤭‘用心良苦’。”
悟空马👾上接茬⛲：“怪不得注册表【zhù cè biǎo】被加密后，人们将Regedit.exe改为【wéi】Regedit.com就可以解密了🐍。”谭教授【tán jiāo shòu】对悟空的表现【de biǎo xiàn】🍦感到非【gǎn dào fēi】💷常的欣慰。

突然悟【tū rán wù】⏬空又挠着头说【zhe tóu shuō】道：“通过前🌠面几期的讲解，我已经对这些病毒【bìng dú】⛅、木马迷【mù mǎ mí】惑用户✉的方法略知一二🚩。那么除😻了通过相似的【xiàng sì de】名称🦉，以及改变原有🚴路径来进行以【jìn háng yǐ】⏲假乱真【jiǎ luàn zhēn】以外【yǐ wài】，我常常【wǒ cháng cháng】听网友说通过【shuō tōng guò】进程名🏰称的大小写也可以进行分辨？”

“这个我🐅也经常【yě jīng cháng】听说【tīng shuō】，但是我🎺觉得这样分辨🌯不科学，因为进程名称🍯的【de】🐽大小写【dà xiǎo xiě】是根据【shì gēn jù】文件名称的【de】🐽大小写【dà xiǎo xiě】来决定👼的【de】🐽。”谭教授解释道。