windows关联设备_winlogonexe关联

1.怎样清除MP3里的winlogon.exe文件

2.winlogon.exe怎么删除这个

3.我中了winlogon.exe的木马

4.WINLOGON。EXE （大写的）是么

5.进程里这些是什么文件啊

江民反中心立即对用户上报的可疑文件样本进行分析，导致网络游戏玩家账

号被盗的原因是电脑感染了一种名为“落雪”的木马。“落雪”木马可**魔兽世界、世界、征途、梦幻西游、边锋游戏等多款网络游戏的账号和密码。文件图标一般是红色的图案，伪装成网络游戏的登录器。

运行后，在C盘pro-gram file以及windows目录下生成winlogon.exe、regedit等14个文件，文件之多比较少见。江民杀毒软件KV系列产品已及时升级，没有安装杀毒软件的用户，可以下载使用江民“落雪”木马专杀工具进行杀毒，

下载地址：.jiangmin/download/TrojanKiller.exe

怎样清除MP3里的winlogon.exe文件

EXE关联被修改后或者杀除后，执行任何Exe文件都会出错或者要你选择运行程序，使系统软件不能正常运行，出现这种情况就要通过注册表来进行修复，但是注册表工具regedit.exe也是exe，也不例外的被禁止。

但一般只会修改exe文件关联,并不会修改com文件关联.

方法一：把regedit.exe改名为regedit，然后执行regedit，把HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command右边默认项的键值改为”%1〃 %*即可

方法二：（只适用于Win2000/XP）：

1、将cmd.exe改名为cmd或cmd.scr。

2、运行cmd

3、运行下面两个命令：

ftype exefile=”%1〃 %*assoc .exe=exefile

4、将cmd改回cmd.exe

winlogon.exe怎么删除这个

winlogon.exe

先把这个在内存中的winlogon.exe进程关掉

1.先安装木马杀客和黑金防火墙，扫描基线应用程序。

2.用内存管理工具强行关闭内存中的木马文件winlogon.exe

3.修复exe关联文件。

4.开启木马杀客完全杀毒。

如果黑金防火墙发现winlogon.exe要启动，选择永远禁止。

我中了winlogon.exe的木马

winlogon.exe的查杀方法 这个进程是不是一个世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程 正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。这个木马非常厉害，建议使用使用360系统急救箱来处理。具体步骤如下：

1、双击360系统急救箱，出现如图的界面，然后单击“开始系统急救”。

2、系统引擎初始化完成后，单击“修复”，勾选需要修复的类型，然后单击“立即修复”，完成后重新启动电脑。如果你不知道属于哪一类故障不懂得应该修复哪一类可以使用系统推荐的修复级别，不用选择而直接单击“立即修复”，或者勾选“全选”然后直接单击“立即修复”。

WINLOGON。EXE （大写的）是么

如果是程路径： C:\WINDOWS\winlogon.exe

这个地址才是中毒了呢！

瑞星，毒霸，木马克星，ewido，卡巴斯基试过都没有用，安全模式下也杀不了的。此木马为关联木马专盗密码的只要运行exe文件就会启动木马。图标是红色的底黑色的龙，中毒后会释放很多的文件如regedit啊等等！

杀毒前准备软件

1.木马杀客5.2

2.exe文件关联修复软件

3.黑金防火墙

4.内存管理软件

开始杀毒

1.先安装木马杀客和黑金防火墙，扫描基线应用程序。

2.用内存管理工具强行关闭内存中的木马文件winlogon.exe

3.修复exe关联文件。

4.开启木马杀客完全杀毒。

如果黑金防火墙发现winlogon.exe要启动，选择永远禁止。

这样就行了！祝你们好运！

我可提供木马样本，有愿意研究的可以给我发邮件！

有需要以上杀毒工具的也可给我发邮件！

fsadmin@126

进程里这些是什么文件啊

小写的话 应该不是 要大写的才危险

表现症状：双击盘符无法打开，或出现自动播放，在盘根目录下出现autorun.inf和pagefile.***文件，同时修改了大量的文件关联。打开任务管理器，出现大写的WINLOGON.EXE,该东东为盗号马，曾见过对该马儿的定义名称，为“落雪”，挺好听的名字噢~

在系统里存在的文件及被修改的文件为:

D:\pagefile

C:\Program Files\Common Files\iexplore

C:\WINDOWS\1

C:\WINDOWS\iexplore

C:\WINDOWS\finder

C:\WINDOWS\Exeroud.exe

C:\WINDOWS\Debug\DebugProgramme.exe

C:\Windows\system32\command

C:\Windows\system32\msconfig

C:\Windows\system32\regedit

C:\Windows\system32\dxdiag

C:\Windows\system32\rundll32

C:\Windows\system32\finder

C:\Windows\WINLOGON.EXE

1.终止进程WINLOGON.EXE

终止进程可用进程杀手或Procexp等工具来实现，注意别把小写的winlogon给禁止了

再进入注册表,删除如下

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan pragramme

2.恢复文件关联

修复文件关联可用偶在置顶日志里的反常用工具里的东东

3.逐一删除染毒文件，清理或恢复注册表信息

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe 1"

更改为

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]"Shell"="Explorer.exe "

把上面被列出后缀为com的文件在注册表里搜索，找到后，在注册表里的文件后缀由改为.exe

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:

smss.exe Session Manager

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)

产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)

svchost.exe 包含很多系统服务

SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)

explorer.exe 管理器

internat.exe 托盘区的拼音图标

附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:

mstask.exe 允许程序在指定时间运行。(系统服务)

regsvc.exe 允许远程注册表操作。(系统服务)

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)

tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)

允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)

termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基

于 Windows 的程序。(系统服务)

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库。(系统服务)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)

RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序

。(系统服务)

UtilMan.exe 从一个窗口中启动和配置工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

详细说明：

win2k运行进程

Svchost.exe

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位

在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要

加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，

以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的

例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个

或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL值。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

explorer.exe

这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个

进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。

通常不会对系统产生什么负面影响。

internat.exe

这个进程是可以从任务管理器中关掉的。

internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。

internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。

当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe

这个进程是不可以从任务管理器中关掉的。

这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是

通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入

令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe

这个进程是不可以从任务管理器中关掉的。

这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe

这个进程是不可以从任务管理器中关掉的。

这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，

包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些

进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么

不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe

这个进程是不可以从任务管理器中关掉的。

缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe

这个进程是不可以从任务管理器中关掉的。

大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process

这个进程是不可以从任务管理器中关掉的。

这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

winlogon.exe

这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe

winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

taskmagr.exe

这个进程就是任务管理器。

在知道里找到不少制作QQ空间的代码。但每次我在新建模块无论在网址里还是评论里输入代码最后保存都没有显示相应的效果，请问具体制作步骤是怎样？

winXP进程全接触

Windows 2000/XP 的任务管理器是一个非常有用的工具，它能提供我们很多信息，比如

现在系统中运行的程序（进程），但是面对那些文件可执行文件名我们可能有点茫然，

不知道它们是做什么的，会不会有可疑进程（，木马等）。本文的目的就是提供一

些常用的Windows 2000 中的进程名，并简单说明它们的用处。

在 WINDOWS 2000 中,系统包含以下缺省进程：

Csrss.exe

Explorer.exe

Internat.exe

Lsass.exe

Mstask.exe

Smss.exe

Spoolsv.exe

Svchost.exe

Services.exe

System

System Idle Process

Taskmgr.exe

Winlogon.exe

Winmgmt.exe

下面列出更多的进程和它们的简要说明

进程名 描述

smss.exe Session Manager

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安

全驱动程序。

svchost.exe Windows 2000/XP 的文件保护系统

SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)

explorer.exe 管理器

internat.exe 托盘区的拼音图标)

mstask.exe 允许程序在指定时间运行。

regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe msftpsvc,w3svc,iisadmn

tlntsvr.exe tlnrsvr

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。

termsrv.exe termservice

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows

2000 Professional 的能力。

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。

ups.exe 管理连接到计算机的不间断电源(UPS)。

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS

名称服务。

llssrv.exe 证书记录服务

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。

RsSub.exe 控制用来远程储存数据的媒体。

locator.exe 管理 RPC 名称服务数据库。

lserver.exe 注册客户端许可证。

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页

面。

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统

或其它事务保护护管理器。

faxsvc.exe 帮助您发送和接收传真。

cisvc.exe 索引服务

dmadmin.exe 磁盘管理请求的系统管理服务。

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌

面。

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。

smlogsvc.exe 配置性能日志和警报。

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和

本地通信控制安装功功能。

RsEng.exe 协调用来储存不常用数据的服务和管理工具。

RsFsa.exe 管理远程储存的文件的操作。

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向

一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控

制。

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作

站汇报。

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息，

然后将消息传递到运行在这台计算机上 SNMP 管理程序。

UtilMan.exe 从一个窗口中启动和配置工具。

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。

另外,有很多朋友都有这样的疑问:我的开机进程里有smss.exe和csrss.exe两个文件，

有什么作用？

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及

COM，调用Win32壳子系统和运行在Windows登陆过程。

常见错误: N/A

是否为系统进程: 是

进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描述: 客户端服务子系统，用以控制Windows图形相关子系统。

常见错误: N/A

是否为系统进程: 是