winlogon

Windows Logon Process winlogon.exe是Windows NT用户登陆程序用于管理用户登录和退出。[1]该进程的正常路径应是以SYSTEM用户运行，若不以SYSTEM用户运行，则可能是蠕虫病毒，该病毒通过EMail邮件传播。

基本描述

作为一个系统核心进程，Winlogon.exe进程已被很多病毒盯上，国内外安全厂商已经截获很多类似病毒，感染情况包括进程位置变化、资源占用变化、错误提示等。若发生此类情况很有可能已被感染病毒。

该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。

正常的winlogon系统进程，其用户名为“SYSTEM”程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式ctrl+alt+del然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。使用其他杀毒软件查出难度大。

清除病毒

WINDOWS下的WINLOGON.EXE确实是病毒，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，都是隐藏的，删除没用，因为关联了很多东西，只要运行程序，或者双击打开D盘，就会重新自动安装。

其他问题

winlogon.exe应用程序错误主要是输入法软件注入winlogon所导致的蓝屏。国内windowsXP仍有很多，用户可将腾讯电脑管家升级至8.2.9749.224版本，并打开腾讯电脑管家电脑诊所，搜索“winlogon.exe”，找到相关问题，点击一键修复即可完成。

软件误杀

2010年8月24日，安装了小红伞杀毒软件当天升级包的网友纷纷表示，小红伞将其识别为特洛伊木马，如果用户选择删除的话，系统重启后可能会无法正常开机。经众多网友分析，此乃小红伞误报，并非本词条中所提及的落雪病毒。

临时解决方法：打开小红伞配置(configuration)-勾选专家模式（expert mode），然后在扫描（scan）里面找到设置选项，里面有exception（例外），将winlogon.exe设为排除。待小红伞官方修复后再修改回来。