使用WinXP很久了 你了解Winlogon吗?

　　其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:WindowsSystem32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病毒了!

　　Winlogon.exe是一个本地进程，所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4(下载地址http://www.mydown.com/soft/network/netassistant/496/403496.sHtml)，发现在进程列表中(图2)有Winlogon.exe进程打开某端口监听、要求连接网络，那么这个Winlogon.exe肯定是被木马程序劫持了，应该尽快清除之。

　　图 2

　　另外建议你运行一下软件Auto runs(下载地址http://www.mydown.com/soft/18/18943.html)，然后选择Winlogon.exe，检查它启动了哪些文件。正常情况下，Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件，具体名称如下(如图3)，如果不是这些文件，就非常可疑了!

　　图 3

　　前段时间，网上曾爆发过WINLOGON病毒，给大家造成了很大的麻烦和损失。WINLOGON病毒中文名叫“落雪”，是一种专门盗取“传奇世界”、“魔兽世界”、“QQ”及网银等帐号密码的病毒。它不仅盗窃密码，而且还能免杀、自动关闭杀毒软件及木马克星，中了该病毒后你会发现：