注册表winlogon删除掉了_注册表误删了

1.误删注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogoN

2.WINLOGON.EXE是什么

3.我的注册表里找不到SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify

4.windows副本验证删了还有怎么办

两种办法

一，

开始运行输入

control userpasswords2

弹出一个窗口 把要使用本机必须输入密码的勾 勾上 点应用 就可以了

二，

开始运行输入 net user %user% 新密码

把当前用户的密码改掉换一个 其中新密码换成你要改的密码

误删注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogoN

WINLOGON.EXE病毒，j近来在网络很流行，许多朋友都中了，许多杀毒软件能查到，但是无论如何都无法清除。

不知道什么原因，这个病毒的中文译名叫做“落雪”，又叫“飘雪”，很美吧？

我检查了一下，发现进程里多出一个大写的WINLOGON，是在winnt或windows目录下的，而正常情况下，这个进程应该是在winnt或windows/system32目录下的，此进程不言而知。注册表下的启动项，里面有个Torjan pragramme的启动项目，不能彻底删除。

以下是删除的方法

这个进程WINLOGON.EXE的用户名是用户自己，因此不可能是正常的系统进程，正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星等许多著名的杀毒软件，使其不能正常运行，就算能正常运行，也会错误杀毒或查毒。目前使用其他杀毒软件未能杀。但是很明显，人工也可以看出，那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家用鼠标右键打开，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，这些当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都不能删，只要运行任何程序，或者双击打开D盘，她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个破解的传家宝了。

我分析了一下这个木马的资料，连接是通向河南和天津的某一地区，看来是国内的。而且她很有趣，如果你机子上有传奇等游戏，必然惹来她的亲吻，那么说QQ之类的帐号密码会不会被泄漏，这个不清楚，但起码我有些朋友已经被盗了。

解决“落雪”病毒的方法

症状：D盘双击打不开，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系统的运作，因此此两个文件难以删除，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘很多相关文件程序

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe（传奇的图标，很漂亮）

C:\WINDOWS\Debug\*** Programme.exe（也是上面那个图标，名字每台机子都不同，但是明显是非隐藏的）

C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

值得注意的是：看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘，还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要离开她的亲吻！

C:\Windows\WINLOGON.EXE

这个在进程里明显可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会

呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选打开，把autorun.inf和pagefile.com删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

打开我的电脑点工具==>文件夹选项==>文件类型==>新建exe扩展名，点高级选应用程序。

即可运行

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用System Repair Engineer看情况修理一下系统的启动项、系统关联等。

最后说一下怎么解决开机提示找不到文件“1.com”的方法：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 当然这也是启动项罢了。

搞定！

WINLOGON.EXE是什么

你把以下内容复制到记事本中，并注意保存时将文件类型选择为所有文件，输入的后缀必须为REG，另外特别注意的是文件的最后请添加两行空行，双击这个REG文件导入注册表即可：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

"Logon"="WLEventLogon"

"Logoff"="WLEventLogoff"

"Startup"="WLEventStartup"

"Shutdown"="WLEventShutdown"

"StartScreenSaver"="WLEventStartScreenSaver"

"StopScreenSaver"="WLEventStopScreenSaver"

"Lock"="WLEventLock"

"Unlock"="WLEventUnlock"

"StartShell"="WLEventStartShell"

"PostShell"="WLEventPostShell"

"Disconnect"="WLEventDisconnect"

"Reconnect"="WLEventReconnect"

"Impersonate"=dword:00000001

"Asynchronous"=dword:00000000

"SafeMode"=dword:00000001

"MaxWait"=dword:ffffffff

"DllName"=hex(2):57,00,67,00,61,00,4c,00,6f,00,67,00,6f,00,6e,00,2e,00,64,00,\

6c,00,6c,00,00,00

"Event"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings]

"Data"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,\

00,00,ac,36,79,d4,37,24,8b,4e,90,8a,cd,81,63,ef,ec,ed,04,00,00,00,04,00,00,\

00,53,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,80,d0,00,e6,68,f2,16,fc,\

98,49,e2,9c,51,d2,7f,10,00,00,00,00,04,80,00,00,a0,00,00,00,10,00,00,00,c0,\

e9,4c,d6,9e,42,61,cd,64,3c,b4,3f,63,9e,f8,f9,b0,01,00,00,55,86,a0,fa,06,e5,\

15,48,3e,49,11,9a,6b,4a,dd,a7,49,ff,f6,21,74,80,91,98,f7,6c,fb,3d,d5,42,5f,\

74,85,95,3b,5a,67,4c,91,82,c7,ab,0f,4d,36,72,27,5d,f1,b7,59,93,6d,6c,aa,d4,\

5e,66,67,16,4e,cd,fd,ea,f6,32,99,1b,d4,f8,55,6d,f6,08,75,20,43,3d,bf,db,a2,\

37,c9,67,ff,ad,fd,fe,aa,10,73,bf,bb,77,4d,3c,11,c7,46,6b,65,b6,11,1f,95,21,\

f8,0a,f7,66,7e,bb,79,b6,7a,32,80,7b,29,6c,9e,ac,c7,97,7d,06,d8,2f,c4,33,5e,\

23,72,19,a8,94,77,a4,09,95,9f,76,fb,3e,e6,cd,cf,38,cb,de,31,10,00,92,48,e1,\

96,35,55,f6,58,32,cb,ab,2e,ae,65,00,5e,9e,e7,00,83,ce,f5,c9,a4,14,ac,cc,3f,\

09,52,9b,27,34,4f,71,07,b4,e9,ae,81,18,0b,0f,1e,3b,ee,cd,a3,8f,4b,dc,de,cd,\

6a,e2,85,f1,3c,f0,ce,e4,c4,dd,fd,b3,37,e8,23,78,71,37,0e,35,f1,49,e0,53,cd,\

a0,78,f4,1e,d1,f7,8e,68,87,5c,5e,9b,51,10,60,59,8e,c1,79,37,0c,ff,e8,b3,26,\

79,96,e3,f6,29,4e,b0,2e,a1,92,08,63,df,39,45,d7,ac,70,4c,6b,dc,1a,c1,b0,5e,\

4f,df,cc,7f,09,35,f9,38,da,4b,b2,d2,8a,eb,78,c0,46,04,c8,a1,4c,1a,ac,07,e3,\

7b,d4,3a,f7,7c,dc,1f,77,c9,f0,89,d7,6c,d8,7e,e2,5c,28,0b,b6,9c,d8,29,26,25,\

c6,0b,ac,bd,62,b2,b0,9c,bf,37,7e,19,c3,14,03,86,64,5a,96,a8,b8,2c,37,eb,b7,\

eb,77,91,be,26,22,88,9a,82,1a,79,63,1e,0a,9d,55,58,b6,51,cf,29,32,63,13,df,\

4d,31,a0,85,30,99,28,b9,f3,d7,13,d4,a3,7b,c1,33,b1,e5,eb,cc,99,a2,66,7f,28,\

d1,bf,88,86,fa,62,eb,6a,ac,ec,73,b6,2e,ce,27,51,c3,4c,3d,d0,b1,f4,d4,32,d0,\

ae,14,00,00,00,18,f0,2f,22,50,c7,6b,bb,34,ff,7a,99,58,9b,ab,98,a9,33,17,ae

我的注册表里找不到SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Notify

确认是病毒之后：

一，用第三方的进程管理器干掉winlogon.exe，注意用户名，用户名为System的是正常进程

二，打开注册表编辑器

1，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

将值shell = Explorer.exe 1改为shell = Explorer.exe

2，删除自启动项

到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

将Torjan Program（很明显吧木马程序）C:\WINNT\winlogon.exe删了

3，到HKEY_Classes_root\.exe下默认值 winfiles 改为exefile

4.删除其他无用数据

删除以下两个键值：

HKEY_Classes_root\winfiles

HKEY_Local_machine\software\classes\winfiles

5，搜索iexplore.com，改为iexplore.exe

共有这几项

HKEY_CLASSES_ROOT\htmlfile\Shell\open\command

HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command

HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command

HKEY_CLASSES_ROOT\ftp\Shell\open\command

6，搜索iexplore.pif 改为%Program Files%\Internet Explorer\iexplore.exe

共有这几项

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command

HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command

HKEY_CLASSES_ROOT\http\Shell\open\command

7. 搜索explorer.com 改为iexplore.exe

就是这项

HKEY_CLASSES_ROOT\Drive\shell\find\command

8，将以下键值的 No 修改为 Yes

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations

三，打开我的电脑。要用右键打开C盘，不然病毒会在运行。

以下基本用是隐藏，系统文件。要在文件夹选项中打开查看所有文件选项。

大多数文件日期全为2006／06／17，你也可以用这个来找。

1， 删除%windir%目录下的

1.com

ExERoute.exe

explorer.com

finder.com

WINLOGON.EXE

2， 删除%windir%\system32目录下的

command.pif

dxdiag.com

finder.com

MSCONFIG.COM

regedit.com

rundll32.com

3， 删除%Program Files%目录下的

Internet Explorer\iexplore.com

Common Files\iexplore.pif

4， 删除每个分区下的autorun.inf文件，（这个就是不能直接打开分区的原因）

5， 删除以下文件夹：%windir%\debug

解决！

注意了哦！！！！！！

如果进程名是小写，且用户为System那是正常的进程信息

重装当然可以解决问题。。这种问题最好自己解决吧。重装多没意思。是吧？

windows副本验证删了还有怎么办

有可能你的用户权限不够是自己具有Administrator的权限，右键单击我的电脑，管理，在用户中找到自己的用户名查看权限，如果只是User的话，那就的添加Administrator权限了，这你的用有Administrator权限的用户将你的当前用户权限设为Administrator。

运行输入regedit进入注册表,找HKEY_LOCAL_MACHINE\\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon，

删除WgaLogon 重新启动

wgatray.exe就不会自动启动了，

再找到你装系统的那个盘比如C盘:C:\windows\system 32中的wgatray.exe删除，

重起.然后再进HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon，删除它