잠시 작업 프로세스 정보

잠시 임무 프로세스에 대해

. . . 바이러스가 아닙니다

Windows NT 사용자 로그인 프로그램인 Windows 로그온 프로세스는 사용자 로그인 및 로그아웃을 관리합니다. 프로세스의 일반 경로는 C:\Windows\System32이어야 하며 SYSTEM 사용자로 실행해야 합니다.

위 경로가 아니고 SYSTEM 사용자로 실행하지 않는 경우 W32.Netsky일 수 있습니다. .D@mm 웜 바이러스는 이메일 이메일을 통해 확산됩니다. 바이러스가 보낸 첨부 파일을 열면 일반적인 winlogon 시스템 프로세스에 의해 감염됩니다. 해당 사용자 이름은 "SYSTEM"이고 프로그램 이름은 소문자입니다. exe.

이 프로세스로 위장한 트로이 목마 프로그램의 사용자 이름은 현재 시스템 사용자 이름이고, 프로그램 이름은 대문자로 WINLOGON.exe이다.

ctrl+alt+del을 사용하여 프로세스를 확인한 다음 프로세스를 선택하세요. 일반적인 상황에서는 winlogon.exe 프로세스가 하나만 있고 해당 사용자 이름은 "SYSTEM"입니다. winlogon.exe가 두 개 나타나고 그 중 하나가 대문자이고 사용자 이름이 현재 시스템 사용자인 경우 트로이 목마가 있을 수 있음을 나타냅니다. Winlogon.exe가 정상인지 확인하는 방법

Winlogon.exe는 시스템 시작에 꼭 필요한 프로세스이고 매우 중요하기 때문에 현재 많은 트로이목마 프로그램이 이를 타겟으로 하고 있습니다. 예를 들어 국내의 트로이목마 프로그램 중 하나! PcShare라고 합니다. 감염되면 자동으로 Winlogon.exe 프로세스에 자체 프로세스를 삽입합니다. 시스템을 시작하면 PcShare는 Winlogon.exe와 함께 실행되며 대부분의 네트워크 방화벽을 피할 수도 있습니다. 차단.

Winlogon.exe는 특히 바이러스 및 트로이 목마에 취약하기 때문에 Winlogon.exe가 바이러스에 감염되었는지 주의할 필요가 있습니다. 그렇다면 Winlogon.exe가 정상인지 확인하는 방법은 무엇입니까? 다음 사항부터 살펴보겠습니다.

1. Winlogon.exe의 이름과 경로를 확인하세요.

다른 시스템 프로세스(예: SMSS.EXE, LSASS.EXE, CSRSS.EXE 등), Winlogon.exe 이름도 대소문자를 구분하지 않습니다. 작업 관리자에서 Winlogon.exe가 대문자인 경우도 있고 소문자인 경우도 있지만 이는 정상적인 현상입니다. 이름에 "O"가 있는지 확인하세요. 문자 O인가요 아니면 숫자 0인가요? 숫자 0이면 Winlog0n.exe는 바이러스임이 틀림없습니다!

두 번째로 Winlogon.exe가 있는 경로를 확인하세요. 일반 Winlogon.exe는 Windows\System32 디렉터리의 C:\에 있어야 하며 SYSTEM 사용자로 실행해야 합니다. 작업 관리자에서 시스템 사용자가 아닌 사용자로 실행 중이거나 경로가 %Windows%인 경우 이 Winlogon.exe도 바이러스에 감염된 것입니다!

2. exe 자동으로 네트워크 연결을 요청하지 않습니다

Winlogon.exe는 로컬 프로세스이므로 자동으로 네트워크 연결을 요청하지 않습니다. TCPView2.4를 시작하면 [1][2] [3] 발견 프로세스 목록에 특정 포트를 열어 수신 대기하고 네트워크 연결을 요청하는 Winlogon.exe 프로세스가 있는 경우 이 Winlogon.exe는 트로이 목마 프로그램에 의해 하이재킹된 것임에 틀림없으며 다음과 같이 제거해야 합니다. 가능한 한 빨리.

또한 자동 실행 소프트웨어를 실행한 다음 Winlogon.exe를 선택하여 시작되는 파일을 확인하는 것이 좋습니다. 정상적인 상황에서 Winlogon.exe는 1개의 실행 파일인 logonui.exe와 6개의 dll 파일을 시작해야 합니다. 이러한 파일이 아닌 경우 매우 의심스럽습니다.

오래된 바이러스. . . 바이러스인 경우 바이러스 백신 소프트웨어가 이를 탐지합니다. .

푸른 대나무는 다른 풍경이고 붉은 매화는 수천 가족에게 봄을 알리고 있으며 봄은 땅으로 돌아오고 있습니다