winlogon.exeはウイルスですか？

タスクマネージャーのプロセス欄に「winlogon.exe」が表示されているのですが
なにやら調べてみるとウイルスの可能性があるようです
「ユーザー名」と「説明」の欄にも何も表記されてないのにメモリは116Kも使ってます
プロパティやファイルの場所も開けません
ほぼ毎日市販の総合セキュリティソフトでスキャンしているので
セキュリティソフトでも検知できないように偽装してるってことでしょうか？
不安なのでどなたか対処方法教えていただけないでしょうか

No.1 回答者： UNCN 回答日時： 2013/10/25 23:13

hositu11さん

UNCNといいます。よろしくです。

結論から言いますとウィルスではありません。
winlogon.exe　は　Microsoft社製　のとても大事なプログラムです。　

C:¥Windows¥System32　ディレクトリに本体があります。

Windows　の　ログインマネージャ機能を実行する　exe　です。
特に、Windows XP　以降の　Windows　はユーザの切り替えがサクサクとできるようになりました。
そのユーザの　ログイン　や　ログアウト　を処理するプログラム（常駐しているからプロセスと言ったほうが良いでしょうか）です。

はっきり言って、紛らわしい名前ですよね。
もしかしたら過去から引きずってきた名前でいまさら変えられない！のかもしれません。

Windows8　がどうなっているのかはわかりませんが。。。
あ、ご質問するときは、自分が何のOSの何Verを使っているか書きましょう！

この回答への補足

>ご質問するときは、自分が何のOSの何Verを使っているか書きましょう！
申し訳ありません…
OSはWindows7 HomePremiumのSP1です

補足日時：2013/10/25 23:26

この回答へのお礼

回答ありがとうございます
今system32内を調べてみたところ
同名のアプリケーションを発見しました

お礼日時：2013/10/25 23:37

No.2 回答者： uuuuu8u8888uuu 回答日時： 2013/10/25 23:19

> 「ユーザー名」と「説明」の欄にも何も表記されてないのにメモリは116Kも使ってます

私のPC（Windows 7）では、ユーザー名も説明も表示されています。怪しいです。

> プロパティやファイルの場所も開けません

普通は開けます。私のPC でも開けました。怪しいです。

> ほぼ毎日市販の総合セキュリティソフトでスキャンしているので

実は、正直に暴露してしまいますと、市販のセキュリティ ソフトウェアでは多くのウイルスやマルウェアを検知できません。既存のウイルスでさえ検知率は 70％前後です。さらに、既存ではなく新種のウイルスは完全に検知できません。これを「ゼロ デイ アタック」といいます。

いじょうの客観的情報に基づき、あなたのwinlogon.exe はウイルス等に感染している可能性が極めて高いと判断されます。

対策は以下のとおりですが、前述したとおり、完全な対策があるわけではありません。

・手遅れの可能性も高いですが、オフライン状態にした後、パスワードなど重要なファイル類は全部 別の HDD や USBメモリーに移動します。

・セキュリティソフトウェアをアンインストール後、新しい別のセキュリティ ソフトウェアをインストールして除去を試みます。実はセキュリティソフトウェアごとに得意分野などが異なるため、別のセキュリティソフトウェアでは対応できる場合も多いのです。

・無理なら、セキュリティ ソフトウェア提供企業の対応を待ちます。残念ながら消極的な対応しか不可能な場合も多いので、そこは我慢です。

この回答へのお礼

回答ありがとうございます
ウイルスの可能性が高いということですね…
セキュリティソフト提供企業のサービスに問い合わせるのも確実といわけではなさそうですし
最終的にはやはり一度まっさらにした方がいいのかも知れませんね

お礼日時：2013/10/26 00:02

No.4 回答者： kimamaoyaji 回答日時： 2013/10/25 23:27

winlogonはWindowsをログオンするための重要なソフトですが、これをターゲートとして乗っ取る、トロイの木馬などのウイルスがある事も確かで、感染した場合は、ログオンを乗っ取られるので（貴方のログではPCに入れなくなりますから）、クリーンインストール以外対処が無いのが現実です。

セキュリティソフトが正常に動作しているなら問題は無い筈ですし、現在ログオンできているのなら問題は発生していません。

この回答へのお礼

回答ありがとうございます
確かに実害は無いですね…
少し安心しました

お礼日時：2013/10/26 00:53

No.5 回答者： my-FTF#1 回答日時： 2013/10/25 23:32

winlogon.exeはウイルスですか、ここでは誰一人としてウイルスとは発言をしていません。

http://q.hatena.ne.jp/1103081791
私のPCでは真面目に動いています。

No.6 回答者： PeachMan 回答日時： 2013/10/26 00:03

使いかたにもよるのでしょうけど、私のパソコンにも知らずに侵入されて潜伏している可能性がないともいえないです。

新品未使用のものですら、あらかじめMicrosoftの優秀なプログラマによって仕込まれていてたまたま発動していないだけなのかもしれません。

でも、そんなこと気にしていてはパソコンもスマートフォンも持てないですよ。
あるていどはセキュリティを信用しないとね。
ウチで使っているパソコンのWindows7は2009年の秋に買ったDSP版のProfessionalがベースですけど、これまで一度もOSのリフレッシュ（再セットアップ）をしていません。
UsersのDドライブ化といった複雑で難解なシステムカスタマイズは最初に済ませてあるので、調子はいいです。
セキュリティはMicrosoft Security Essentials のみ。
Winlogon.exeはもちろん含んでいます。

どうしても不安ならばOSを再セットアップしてしまえばいいだけです。
再セットアップは面倒なことですが、悩んで時間をかけるよりも早く解決できるんじゃないでしょうか。

この回答へのお礼

回答ありがとうございます
素人が下手に弄るよりも再セットアップのほうが確実ですよね…
気にし過ぎてもキリがないというご意見も御尤もだと思います

お礼日時：2013/10/26 16:06

No.7 回答者： active_defence 回答日時： 2013/10/26 14:11

セキュリティーやOSの仕組みに詳しい者です。

winlogon.exeはブートシーケンスの最終段階一歩手前で動くプロセスで、サービスマネージャを呼び出してサービスを起動させたり、lsass.exe(アカウント管理やログオン認証)を起動したりしてユーザーのログオン環境を整える役割をします。


で、私はそういった状況ですと感染してる可能性があると感じますね。


トロイなどではしばしばそうしたプロセスへの介入をしてくることがあります。svchost.exeやuserinit.exeが狙われることもあります。Process Injectionといいます。こうした攻撃を防ぐにはPhysical Memory Protection機能(HIPS系)をもったセキュリティーソフトが必要になります。



HIPS：Host-Based Intrusion Prevention System



私はリカバリを推奨します。

この回答へのお礼

回答ありがとうございます
技術的なことはわかりませんが（すいません…
Physical Memory Protection機能については
自分が使用中のソフトだとフィルタリングの設定次第だそうです
ただ素人が弄るのはリスキーらしいので
これも提供企業サポートに問い合わせた方がいいのかもしれませんね

お礼日時：2013/10/26 16:23

No.8 ベストアンサー 回答者： VDSL 回答日時： 2013/10/26 14:26

こんにちわ。

一応プロのセキュリティ屋さんです。

winlogon.exeですよね。確かに普通にタスクマネージャで表示させると、ユーザ名や説明に何も出ませんよね。これは、winlogon.exeがそのタスクマネージャを表示しているユーザよりも高い権限で動いているため、そのユーザの権限ではwinlogon.exeの情報を取得することが許されていないためです。

Administratorアカウント、もしくはAdministrator権限を付与されたアカウントでタスクマネージャを表示させると、左下に"すべてのユーザーのプロセスを表示"というボタンが現れると思います。ここをクリックしてみてください。そうすれば、winlogon.exeのユーザ名として"SYSTEM"、説明として"Windows ログオン アプリケーション"と表示されます。この状態であれば、ファイルの場所(system32)も表示されますし、プロパティを見ることもできます。お手元の環境で試してみてください。

別の方も書かれているように、確かにwinlogon.exeを書き換える、もしくはそのふりをするウイルスは存在します。しかし、市販の総合セキュリティソフトでちゃんとスキャンをしているのであれば、基本的に安心していいでしょう。

セキュリティソフト = ウイルスを検知する側と、ウイルスを作る側との間では永遠のいたちごっこが続いており、本当に最新のものはセキュリティソフトで検知できないのも事実ですが、セキュリティソフトを作る会社も全力で対応しているのもまた事実です。

質問者さんがPCを利用していて特に違和感を感じないのであれば、全く問題ないと思いますよ。

この回答へのお礼

回答ありがとうございます
ご説明いただいた通りにマネージャを確認したところ「ユーザー名」と「説明」欄に記載が確認できました
ファイルの場所も「SYSTEM32」に確認できました
丁寧で分かりやすい解説感謝いたします

お礼日時：2013/10/26 16:15

No.10 回答者： VDSL 回答日時： 2013/10/26 15:44

#8です。

一か所訂正がありました。

> Administratorアカウント、もしくはAdministrator権限を付与されたアカウントでタスクマネージャを表示させると

Administrator権限がないアカウントでも表示されました。その場合、パスワードを聞かれます。

先にも書いたようにより高い権限でタスクマネージャを表示させればwinlogon.exeのプロパティ等はちゃんと参照できるので、質問者さんがパソコンに何らかの異常を感じておらず、かつ頻繁にスキャンを行っているのであれば、特に対策を取る必要はないはずです。

No.11 回答者： active_defence 回答日時： 2013/10/26 17:26

#7です。

当方の実験環境(Windows 7 32bit)でProrocess Injection(正確にはProcess Merory Injection)をテストしたところ、介入を行うと介入先プロセスのCPU使用率が常時高い(当方のテストでは十数%～80数%前後)になり、全体の動作が少し重く感じられるようになりました。

従いまして、先のリカバリ推奨は△とさせて下さい。状況を見てということで。


失礼しました。

No.12 回答者： active_defence 回答日時： 2013/10/26 17:36

#7です。

参考までにこれ見せてあげます。