辐射新维加斯 加点:如何把winlogon.exe这个进程关掉.?

我的解答：
Winlogon.exe是一个系统必备的文件，所以就算清掉了进程以后它还会弹出来的。至于木马的问题，有些木马只是嵌入Winlogon.exe进程中，他们都是有实体的，如果您的杀毒软件有及时升级和更新的话……一般可以说明那个文件里面没有病毒了～
另外，请切记在Dos下面删除这个系统文件，这样做会导致无法进入Windows！
至于Rundll32.exe这个进程是一些关键的Dll扩展调用的进程，如果您有安装雅虎上网助手或者其他相关的程序，有这个进程就不奇怪了！
如果没有，您可以通过“Windows优化大师”的“开机速度优化”来查看这些进程所引用的Dll，如果您用杀毒软件对系统盘杀过毒，一般就不会存在Dll引用类的病毒了！

不是病毒，winlogon.exe这是进入windows的登陆。
你打开几个网络连接就会有几个RUNDLL32.EXE这个进程

winlogon.exe是系统关键进程，是不能结束的

建议用卡巴斯基，网上有很多免费的，你在系统进程把你说的那个进程关掉就行了，建议装上卡后，先不要连接网络，直接用卡杀毒，应该能杀掉的，这个是公认的杀毒好软件，百度上有好多免费的，可以用到2007年7月31日的。

Winlogon.exe病毒删除心得(转)

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ，然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。
这个木马非常厉害，能破坏掉木马XX和常用的杀毒软件，使其不能正常运行。目前我使用江民杀毒软件未能查出，连瑞星在线杀毒对它都没有查出来，并且使防火墙处于无法启动状态，在清除病毒之后也不能启动，我不得不重新再安装一次防火墙。
在WINDOWS下的WINLOGON.EXE确实是病毒。但是，它不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件（有的版本病毒还有autorun.inf文件），我机器里的pagefile不是隐藏的，而是光明正大的存在D盘里，删这个文件是没用的，因为它关联了很多东西，甚至在安全模式都存在，只要运行任何程序，或者双击打开D盘，它会重新出现在D盘。网上有的网友说叫这个病毒为 ”落雪“ 是专门盗传奇、传奇世界的木马，至于会不会盗其他帐号如QQ，网银就不得而知了（我不会玩传奇，但是也有这个病毒!!我晕～～～～～）。同时它还将将杀毒软件里的设置进行了改变，不能启动防火墙，强制手工启动时，会出现一个窗口说防火墙某个文件失效，被windows 关闭。真的好可恨！！

我解决“落雪”病毒的方法
症状：D盘打开，里面有pagefile.com文件 ，它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示所有隐藏文件。 D盘里就一个，C盘里的就多了！
D:\pagefile.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe
C:\WINDOWS\Debug\DebugProgramme.exe
C:\Windows\system32\command.com
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\WINLOGON.EXE
winlogon这个在进程里可以看得到，有两个，一个是真的，一个是假的。 真的是小写winlogon.exe，用户名是SYSTEM，而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会呆在你的进程里！
然后打开开始菜单的运行，输入命令 regedit，进注册表，到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面，有一个Torjan programme，这个明摆着“我是木马”，证明你的电脑里已经有WINLOGON.EXE病毒。
知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件夹，取消隐藏受保护操作系统文件。
随后我使用了木马杀客软件，进行硬盘扫描，这么作的好处是知道木马病毒所在的位置，同时木马杀客软件将这些木马病毒进行删除操作，如果不能删除就将那些病毒进行隔离。扫描结果是：

2006年2月16日
系统事件：启动项目中发现木马!
木马名称：Troj.LMir2.ky.2605
木马启动项：torjan program
木马从启动项目中清除成功!
c:\windows\winlogon.exe

木马在硬盘清除成功!
c:\windows\winlogon.exe

系统事件：启动项目中发现木马!
木马名称：系统用户登录管理.3
木马启动项：torjan program
木马从启动项目中清除成功!
c:\windows\winlogon.exe

核心启动中发现木马! 已经清除 1

2006年1月16日
系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2607
木马路径：C:\WINDOWS\1.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2610
木马路径：C:\WINDOWS\ExERoute.exe
处理方式：隔离 成功

系统事件：已发现木马!
木马名称：W32.Gokar.A@mm.2062
木马路径：C:\WINDOWS\iexplore.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2609
木马路径：C:\WINDOWS\finder.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2615
木马路径：C:\WINDOWS\system32\command.pif
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2614
木马路径： C:\Windows\system32\command.com
处理方式：删除 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2614
木马路径：C:\WINDOWS\system32\dxdiag.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2609
木马路径：C:\WINDOWS\system32\finder.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2616
木马路径：C:\WINDOWS\system32\MSCONFIG.COM
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2617
木马路径：C:\WINDOWS\system32\regedit.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2618
木马路径：C:\WINDOWS\system32\rundll32.com
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2618
木马路径：C:\Windows\WINLOGON.EXE
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2618
木马路径：C:\WINDOWS\Debug\DebugProgramme.exe
处理方式：隔离 成功

系统事件：已发现伪系统木马!
木马名称：Troj.LMir2.ky.2618
木马路径：C:\Program Files\Common Files\iexplore.com
处理方式：隔离 成功
然后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com删掉， 然后再到C盘把木马杀客上面所列出来的文件都删掉（C盘里上述的病毒经过木马杀客的扫描已经被其屏蔽了，并且在病毒的名字里有屏蔽的字样，很容易找到）！中途注意不要双击到其中任何一个文件，否则所有步骤都要重新来过！删完之后注销，但是在注销之前千万别忘了将垃圾桶清空。
注销之后，我曾经在做到这一步的时候用雅虎IE修复助手进行修复，很不兴所有上述文件全部重新出来了（我哭了55555，雅虎助手强力修复显示共有9个篡改项），我的努力全部附之东流，我又不得不重新再来尝试新的方法，在经过n次尝试，我用了一招最笨的方法，就是重新安装IE，重新启动之后所有病毒文件已经全部不见了，我的江民软件重新回来了（出现了）， 而后我进入注册表中查找Torjan programme不见了；进程里WINLOGON.EXE也没有了；我终于消灭了这个该死winlogon.exe病毒。

PS：网友在网上说：删掉那些文件后，所有的exe文件全都打不开了，运行cmd也不行（我没有遇到，抄下来以供大家参考）。网友的解决方法是，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件 然后行动可以进入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。 弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（可能是Windows下的1.com文件）,解决方法是在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" ，完成！！

winlogon.exe是正常的进程
Windows Logon Process，Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。
关于rundll32,有三个查一下它的位置，
Windows RUNDLL32 Helper，Windows Rundll32为了需要调用DLLs的程序。该文件可有被QQ白骨精病毒所感染，应该先结束此进程，然后删除系统目录下的Rundll32.exe文件，再去找一个正常的Rundll32.exe恢复即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒，它通过在QQ上发送以诱惑性文字为名的EXE文件(如：超级MM，超级FLASH，请您笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件，并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒。