• ベストアンサー

winlogon.exeはウイルスですか?

タスクマネージャーのプロセス欄に「winlogon.exe」が表示されているのですが なにやら調べてみるとウイルスの可能性があるようです 「ユーザー名」と「説明」の欄にも何も表記されてないのにメモリは116Kも使ってます プロパティやファイルの場所も開けません ほぼ毎日市販の総合セキュリティソフトでスキャンしているので セキュリティソフトでも検知できないように偽装してるってことでしょうか? 不安なのでどなたか対処方法教えていただけないでしょうか

質問者が選んだベストアンサー

  • ベストアンサー
回答No.8

こんにちわ。一応プロのセキュリティ屋さんです。 winlogon.exeですよね。確かに普通にタスクマネージャで表示させると、ユーザ名や説明に何も出ませんよね。これは、winlogon.exeがそのタスクマネージャを表示しているユーザよりも高い権限で動いているため、そのユーザの権限ではwinlogon.exeの情報を取得することが許されていないためです。 Administratorアカウント、もしくはAdministrator権限を付与されたアカウントでタスクマネージャを表示させると、左下に"すべてのユーザーのプロセスを表示"というボタンが現れると思います。ここをクリックしてみてください。そうすれば、winlogon.exeのユーザ名として"SYSTEM"、説明として"Windows ログオン アプリケーション"と表示されます。この状態であれば、ファイルの場所(system32)も表示されますし、プロパティを見ることもできます。お手元の環境で試してみてください。 別の方も書かれているように、確かにwinlogon.exeを書き換える、もしくはそのふりをするウイルスは存在します。しかし、市販の総合セキュリティソフトでちゃんとスキャンをしているのであれば、基本的に安心していいでしょう。 セキュリティソフト = ウイルスを検知する側と、ウイルスを作る側との間では永遠のいたちごっこが続いており、本当に最新のものはセキュリティソフトで検知できないのも事実ですが、セキュリティソフトを作る会社も全力で対応しているのもまた事実です。 質問者さんがPCを利用していて特に違和感を感じないのであれば、全く問題ないと思いますよ。

hositu11
質問者

お礼

回答ありがとうございます ご説明いただいた通りにマネージャを確認したところ「ユーザー名」と「説明」欄に記載が確認できました ファイルの場所も「SYSTEM32」に確認できました 丁寧で分かりやすい解説感謝いたします

その他の回答 (15)

回答No.28

まだ締め切っていなかったのね。 私のPCでは、 ユーザー名が「SYSTEM」 説明が「Windows ログオン アプリケーション」 となっています。 どうしてユーザー名や説明がないのでしょうね? ちなみに、顔認証機能のあるPCだからなのか、私のPCではメモリを2,364kも使っています。 例えば、下記のようなサイトが危機を煽っているけど、対策ツール自体が詐欺ソフトです。 hティーティーp://www.windowsfiles.jp/fairu/winlogon.エグゼ.html ↑間違ってアクセスしないように加工しました。 ファイル名で検索して、SYSTEM以外の場所にないか確認しましたか? SYSTEM内だけにあるのなら、ユーザー名と説明が表示されなくなっているだけですよね。 その原因も不安であればリカバリすればよいと思いますが。 毎日ウィルスチェックするぐらいセキュリティ意識が高いなら、バックアップぐらいはお持ちでしょう。 どうせリカバリするならその前に一足掻きと言うことなら、 http://ynlelliott.blog59.fc2.com/blog-entry-108.html ↑のようなことをやって見るのも面白いかも。 XPではできたようだけど、7ではできなかったりシステムが壊れたりするかもしれない。 あくまでリカバリ前提で、その前にやって見る程度ですかね。

回答No.27

なぜか私の回答が削除されているので改めて回答させてもらいますがタスクマネージャーに「winlogon.exe」が表示されただけでウィルス感染したと判断するのはどうなんでしょうか? きちんと脆弱性対策をしていることを前提として定期的にウィルスチェックをしているのならそう神経質になる必要もないと思います。 現に私はここ5年、月一でセキュリティスキャンをしていますがウィルス感染どころか踏んだこともありません。何も不安になることもないし心配する必要もないと思いますよ。

noname#186948
noname#186948
回答No.26

winlogon.exeはプロセス、もし同じものが入っていたらウイルスと疑うのも良いでしよう。

noname#186948
noname#186948
回答No.19

http://www.processlibrary.com/ja/directory/files/winlogon/24783/ このソフトは購入を促すとんでもないものであり、各サイトを開けばホップアップを繰り返します。 間違ってもダウンロードとインストールをしてはならない。 日本データテクロジー、Dellホームページ。 http://hdd-check.com/pc_54.html お使いのパソコンによっては開けないページがあります。 ウイルスに感染をしているかも知れない、その様に感じられた場合はハードディスクの診断を受けて下さい。 但し、ウイルスを発見するだけであって、アインインストールまたは削除については各自のコンピュータで行って下さい。

noname#227802
noname#227802
回答No.16

いろいろと 難しい?こと書かれていますけど この文章を読む限りでは 白 だと思いますね。 自分のWin7 アルティメット では ファイルサイズ:381kb 更新日時:2010年11月20日 作成日時:2013年*月**日(自分のPCへのインスト日時と思われる) プロセスでのメモリサイズ:2.244kb CPU リソースは 常に 0 です。 ゼンゼン 脅威だとは思いませんがw 貴方のPC内のことは 文章だけでは 分からないので 正確に 答えることが出来る人は いない というのが前提になるでしょうね。 それでも 問題があるようには 感じませんけどねw 仮に winlogon.exe が2つあるとかなら 確実にウイルスだと言えそうだけど。 ところで 意味不明なのが >ほぼ毎日市販の総合セキュリティソフトでスキャンしている っと 書いてますが スキャンして ヒットしたんですか? そうではないんですよね? それなら 無意味だと思います。 そんな心配するよりも やることは他にいくらでもアリそうですけどね。 仮に 本当にその部分での ウイルスである場合。。。。は? 心配しなくていいですw 「対処法が無い」 ことが明確になるわけでw それなら やるべきことは 決まってくるし。

noname#186948
noname#186948
回答No.14
回答No.12

#7です。 参考までにこれ見せてあげます。

回答No.11

#7です。 当方の実験環境(Windows 7 32bit)でProrocess Injection(正確にはProcess Merory Injection)をテストしたところ、介入を行うと介入先プロセスのCPU使用率が常時高い(当方のテストでは十数%~80数%前後)になり、全体の動作が少し重く感じられるようになりました。 従いまして、先のリカバリ推奨は△とさせて下さい。状況を見てということで。 失礼しました。

回答No.10

#8です。一か所訂正がありました。 > Administratorアカウント、もしくはAdministrator権限を付与されたアカウントでタスクマネージャを表示させると Administrator権限がないアカウントでも表示されました。その場合、パスワードを聞かれます。 先にも書いたようにより高い権限でタスクマネージャを表示させればwinlogon.exeのプロパティ等はちゃんと参照できるので、質問者さんがパソコンに何らかの異常を感じておらず、かつ頻繁にスキャンを行っているのであれば、特に対策を取る必要はないはずです。

回答No.7

セキュリティーやOSの仕組みに詳しい者です。 winlogon.exeはブートシーケンスの最終段階一歩手前で動くプロセスで、サービスマネージャを呼び出してサービスを起動させたり、lsass.exe(アカウント管理やログオン認証)を起動したりしてユーザーのログオン環境を整える役割をします。 で、私はそういった状況ですと感染してる可能性があると感じますね。 トロイなどではしばしばそうしたプロセスへの介入をしてくることがあります。svchost.exeやuserinit.exeが狙われることもあります。Process Injectionといいます。こうした攻撃を防ぐにはPhysical Memory Protection機能(HIPS系)をもったセキュリティーソフトが必要になります。 HIPS:Host-Based Intrusion Prevention System 私はリカバリを推奨します。

hositu11
質問者

お礼

回答ありがとうございます 技術的なことはわかりませんが(すいません… Physical Memory Protection機能については 自分が使用中のソフトだとフィルタリングの設定次第だそうです ただ素人が弄るのはリスキーらしいので これも提供企業サポートに問い合わせた方がいいのかもしれませんね

関連するQ&A