关闭windows event log_关闭winlogon进程

2024-10-15 14:39:20

1.有两个WINLOGON.EXE进程，高手进来看下

2.win10下如何使用命令结束系统关键进程例如winlogon.exe

3.求助关于winlogon进程！

4.如何彻底结束ylive.exe，每次结束进程，可是几秒种之后它又自动出来了，烦得要。

关闭windows event log_关闭winlogon进程

winlogon - winlogon.exe - 进程信息

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级 (0-5): 0

间谍软件：否

Adware: 否

病毒：否

木马：否

有两个WINLOGON.EXE进程，高手进来看下

命令是 TASKKILL /F winlogon.exe 结束进程的命令是这样的。但是 winlogon.exe是系统进程，结束后系统会马上蓝屏。也就是说不能结束这个进程。

采纳哦

win10下如何使用命令结束系统关键进程例如winlogon.exe

WINLOGON.EXE病毒，j近来在网络很流行，许多朋友都中了，许多杀毒软件能查到，但是无论如何都无法清除。

不知道什么原因，这个病毒的中文译名叫做“落雪”，又叫“飘雪”，很美吧？

我检查了一下，发现进程里多出一个大写的WINLOGON，是在winnt或windows目录下的，而正常情况下，这个进程应该是在winnt或windows/system32目录下的，此进程不言而知。注册表下的启动项，里面有个Torjan pragramme的启动项目，不能彻底删除。

以下是删除的方法

这个进程WINLOGON.EXE的用户名是用户自己，因此不可能是正常的系统进程，正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星等许多著名的杀毒软件，使其不能正常运行，就算能正常运行，也会错误杀毒或查毒。目前使用其他杀毒软件未能杀。但是很明显，人工也可以看出，那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家用鼠标右键打开，打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，这些当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都不能删，只要运行任何程序，或者双击打开D盘，她就会重新被安装了。而且这段时间很多人的帐号被盗就是因为这个破解的传家宝了。

我分析了一下这个木马的资料，连接是通向河南和天津的某一地区，看来是国内的。而且她很有趣，如果你机子上有传奇等游戏，必然惹来她的亲吻，那么说QQ之类的帐号密码会不会被泄漏，这个不清楚，但起码我有些朋友已经被盗了。

解决“落雪”病毒的方法

症状：D盘双击打不开，而且里面有autorun.inf和pagefile.com文件

此病毒的制作者很了解系统的运作，因此此两个文件难以删除，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘很多相关文件程序

D:\autorun.inf

D:\pagefile.com

C:\Program Files\Internet Explorer\iexplore.com

C:\Program Files\Common Files\iexplore.com

C:\WINDOWS\1.com

C:\WINDOWS\iexplore.com

C:\WINDOWS\finder.com

C:\WINDOWS\Exeroud.exe（传奇的图标，很漂亮）

C:\WINDOWS\Debug\*** Programme.exe（也是上面那个图标，名字每台机子都不同，但是明显是非隐藏的）

C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。

C:\Windows\system32\msconfig.com

C:\Windows\system32\regedit.com

C:\Windows\system32\dxdiag.com

C:\Windows\system32\rundll32.com

C:\Windows\system32\finder.com

C:\Windows\system32\a.exe

值得注意的是：看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不要运行任何程序，要不就又启动了，包括双击磁盘，还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要离开她的亲吻！

C:\Windows\WINLOGON.EXE

这个在进程里明显可以看得到，有两个，一个是真的，一个是假的。

真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，

而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。

这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会

呆在你的进程里！我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的，连系统还原夹里都有！！这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！

知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！

然后注销！重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选打开，把autorun.inf和pagefile.com删掉，

然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！然后再注销。

我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

打开我的电脑点工具==>文件夹选项==>文件类型==>新建exe扩展名，点高级选应用程序。

即可运行

但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用System Repair Engineer看情况修理一下系统的启动项、系统关联等。

最后说一下怎么解决开机提示找不到文件“1.com”的方法：

在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中

把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 当然这也是启动项罢了。

搞定！

求助关于winlogon进程！

没错，点击他就可以退出资源管理器了，也就是结束Explorer.exe进程。

PS：使用后会黑屏一片！！慎用哈。

其他方法：

1、按“CTRL+ALT+DEL”，调出“任务管理器”，选择“文件—新建任务 ”C：\Progrom Files\Internet Explorer\iexplore.exe 按“确定”，就能打开网页了。

2、在地址栏输入“我的电脑”，确定后就能打开“我的电脑”选择“C盘——WINDOWS——system32”,

在上面的菜单栏，选择“工具——文件夹选项——查看”，把“隐藏受保护的操作系统文件”前面的勾去掉，并勾选“显示所有的文件和文件夹”，按“确定”。

3、找到其中的“dllcache”文件夹，打开，找到“explorer”文件，将它复制到“C盘——WINDOWS”目录下。

4、回到“C盘——WINDOWS”，找到刚才复制来的“explorer”文件，双击。

文件自动安装，一会，就有桌面图标、任务栏、右键菜单了（后面三种方法，一般是是出现在杀完毒重启电脑后.）

如何彻底结束ylive.exe，每次结束进程，可是几秒种之后它又自动出来了，烦得要。

打字很累啊！原来我回答过这个问题的！！现在我重打一次！！我简单的说！！

一，先结束这个进程！！在任务管理器里结束不了！！，用prockiller，选中WINLOGO，删除就好。

二。恢复关联。用SRE2。0恢复！！因为.exe的文件被关联了用不了，所以你把SRE的后缀改为.com就可以运行了

然后选择启动项目时就警告注册表的shall被修改了，还多了两个启动项来启动木马，曲调木马启动项，！！！注意：去掉shell值中explorer.exe后面的1，然后选择自动修复就好了！！

三，在用杀毒软件最新的去杀！！

OK，打完！！不明白的地方加我QQ85146152，我杀这个垃圾无数次了！！

进注册表“开始-运行-REGEDIT”，回车，把一写自启动的程序揪出来

具体如下：

一、经典的启动——“启动”文件夹

单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，其中的程序和快捷方式都会在系统启动时自动运行。

二、有名的启动——注册表启动项

注册表是启动程序藏身之处最多的地方，主要有以下几项：

1.Run键

Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_

USER\Software\Microsoft\Windows\CurrentVersion\Run]和[HKEY_

LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。

还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_

USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Policies\Explorer\Run]，也要仔细查看。

2.RunOnce键

RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\RunOnce]和[HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\RunOnce]键，与Run不同的是，RunOnce下的程序仅会被自动执行一次。

3.RunServicesOnce键

RunServicesOnce键位于[HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\RunServicesOnce]和[HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]下，其中的程序会在系统加载时自动启动执行一次。

4.RunServices键

RunServices继RunServicesOnce之后启动的程序，位于注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunServices]键。

5.RunOnceEx键

该键是Windows XP/2003特有的自启动注册表项，位于[HKEY_

CURRENT_USER\\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]。

6.load键

[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows]下的load键值的程序也可以自启动。

7.Winlogon键

该键位于位于注册表[HKEY_CURRENT_USER\SOFTWARE\

Microsoft\Windows NT\CurrentVersion\Winlogon]和[HKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]，注意下面的Notify、Userinit、Shell键值也会有自启动的程序，而且其键值可以用逗号分隔，从而实现登录的时候启动多个程序。

8.其他注册表位置

还有一些其他键值，经常会有一些程序在这里自动运行，如：[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts]

常用的启动——系统配置文件

在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。

1.Win.ini文件

使用“记事本”打开Win.ini文件，在[windows]段下的“Run=”和“LOAD=”语句后面就可以直接加可执行程序，只要程序名称及路径写在“＝”后面即可。

小提示

“load=”后面的程序在自启动后最小化运行，而“run=”后程序则会正常运行。

2.System.ini文件

使用“记事本”打开System.ini文件，找到[boot]段下“shell=”语句，该语句默认为“shell=Explorer.exe”，启动的时候运行Windows外壳程序explorer.exe。病毒可不客气，如“妖之吻”病毒干脆把它改成“shell=c:\yzw.exe”，如果你强行删除“妖之吻”病毒程序yzw.exe，Windows就会提示报错，让你重装Windows，吓人不？也有客气一点的病毒，如将该句变成“shell=Explorer.exe 其他程序名”，看到这样的情况，后面的其他程序名一定是病毒程序如图2所示。

3.wininit.ini

wininit.ini文件是很容易被许多电脑用户忽视的系统配置文件，因为该文件在Windows启动时自动执后会被自动删除，这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成，对那些在Windows图形界面启动后就不能进行删除、更新和重命名的文件进行操作。若其被病毒写上危险命令，那么后果与“C盘杀手”无异。

小提示

★如果不知道它们存放的位置，按F3键打开“搜索”对话框进行搜索；

★单击“开始→运行”，输入sysedit回车，打开“系统配置编辑程序”，在这里也可以方便的对上述文件进行查看与修改。

五、智能的启动——开/关机/登录/注销脚本

在Windows 2000/XP中，单击“开始→运行”，输入gpedit.msc回车可以打开“组策略编辑器”，在左侧窗格展开“本地计算机策略→用户配置→管理模板→系统→登录”，然后在右窗格中双击“在用户登录时运行这些程序”，单击“显示”按钮，在“登录时运行的项目”下就显示了自启动的程序。

六、定时的启动——任务计划

在默认情况下，“任务计划”程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。通过“计划任务”加载的程序一般会在任务栏系统托盘区里有它们的图标。大家也可以双击“控制面板”中的“计划任务”图标查看其中的项目。

小提示

“任务计划”也是一个特殊的系统文件夹，单击“开始→程序→附件→系统工具→任务计划”即可打开该文件夹，从而方便进行查看和管理

你也可以把“雅虎助手”卸了！！