关于一个一闪而过的任务进程

关于一个一闪而过的任务进程

事。。。不是病毒

Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行

若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。

而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。如何检查你的Winlogon.exe是否正常

由于Winlogon.exe是系统启动必需的进程、非常重要，所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的，当你感染它之后，它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分网络防火墙的拦截。

正因为Winlogon.exe特别容易染上病毒和木马，所以关注Winlogon.exe是否染毒就很有必要了，那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察：

1、检查Winlogon.exe的名称与路径

与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样，Winlogon.exe的名称也是不区分大小写的，假如你在任务管理器中发现，Winlogon.exe有时是大写、有时又是小写，这也是正常的!不过你可要仔细检查，其名称中那个“O”到底是字母O、还是数字0?如果是数字0，Winlog0n.exe肯定就是病毒啦!

其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:\Windows\System32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病毒了!

2、Winlogon.exe不会自动要求连接网络

Winlogon.exe是一个本地进程，所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4，[1][2][3]发现在进程列表中有Winlogon.exe进程打开某端口监听、要求连接网络，那么这个Winlogon.exe肯定是被木马程序劫持了，应该尽快清除之。

另外建议你运行一下软件Auto runs，然后选择Winlogon.exe，检查它启动了哪些文件。正常情况下，Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件，具体名称如下，如果不是这些文件，就非常可疑了!（摘自百度百科）

老掉牙的病毒了。。。如果是病毒杀毒软件会查出来的。。

绿竹别其三分景 红梅正报万家春 春回大地