会跳舞的向日葵配图:进程中有两个winlogon.exe

我认为是病毒 ，我曾经就遇到过个病毒伪装成你的winlogon.exe
这个是分管用户登陆注销的，不会有2个，应该是病毒，你杀杀毒吧
遇到困难的话,请+QQ413882945,愿能解除你的顾虑
请您把对我回答的疑问提出来，无事请勿打扰，暂时只接受百度提问的用户

正常现象。因为其中一个进程只是在等待状态，可能是上一次登陆的进程。

WINDOWS根目录里面正常情况会有一个名为”winlogon”的exe文件，但是注意，这个文件是小写的，要是你看到大写的”WINLOGON”的话，那就说明你中了很严重的病毒，这个病毒严重到可以将你的瑞星监控给强制禁闭．

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。
而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 此程序在WINDOWS根目录中，为隐藏文件，显示隐藏文件的方法很简单：我的电脑→工具→文件夹选项→查看→将“隐藏受保护的操作系统文件”前面的钩去掉，再将“显示所有文件和文件夹”选中就可以了。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。

这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。
那个WINDOWS下的WINLOGON.EXE确实是病毒，但是，她不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了，呵呵，当然都是隐藏的，删这几个没用的，因为她关联了很多东西，甚至在安全模式都难搞，只要运行任何程序，或者双击打开D盘，她就会重新被安装了，呵呵，这段时间很多人被盗就是因为这个破解的传家宝了，而且杀毒软件查不出来，有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马，至于会不会盗其他帐号如QQ，网银 就看她高兴了，呵呵，估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门，其他的全部阻挡，当然大家最好尽快备份，然后关门杀毒
包括方新等修改过的51pywg传家宝，和他们破解的其他一切外挂，这次嫌疑最大的是51PYWG，至于其他合作网站估计也逃不了关系，特别是方新网站，已经被证实过多次在网站放木马，虽然他解释是被黑了，但是不能排除其他可能，特别小心那些启动后连接网站的外挂，不排除启动器本身就有毒，反正一句话，这种启动就连接某网站的破解软件最容易放毒，至于什么时候放，怎么方，比如一天放几个小时，都要看他怎么爽，用也尽量用那种完全本地破解验证版的，虽然挂盟现在好像还没发现被放马或者自己放，但是千万小心，，最近传奇世界传奇N多人被盗号，目标直指这些网站，以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法，注意这个假的WINLOGON.EXE是在WINDOWS下，进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的，那个千万不要乱删，看清楚了，前面一个是大写，后面一个是小写，而且经部分网友证实，此文件连接目的地为河南。

解决“落雪”病毒的方法
症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个，搞得你无法双击打开D盘。C盘里盘里的就多了！
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不
要运行任何程序，要不就又启动了，包括双击磁盘
还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到，有两个，一个是真的，一个是假的。
真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，
而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。
这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会
呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！
知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！
然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉，
然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。
我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 嘿嘿 我也会用com文件，然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法：
在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

进程文件： winlogon or winlogon.exe
进程名称： Microsoft Windows Logon Process
进程类别：其他进程
英文描述：

WinLogon.exe is the Windows NT login manager. It handles the login and logout procedures on your system. This process is an essential part of your OS and should be left alone. Note: winlogon.exe is a process which is registered as the W32.Netsky.D@m
中文参考：
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。
出品者：Microsoft Corp.
属于：Microsoft Windows Operating System
系统进程：Yes
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No

对于从本地或终端服务登陆的，看看有几个winlogon进程，我们可以使用的工具是PSTOOLS的PULIST.EXE，它能够查看本机的所用正在运行的进程。然后单凭有几个winlogon进程也很难判定在线的是不是管理员，因为一般用户和管理员都是通过图形界面登陆的，身份验证都是在GINA（GINA - Graphical Identification andAuthentication图形标识和身份验证）中进行，而GINA又和Winlogon进程紧密相关，所以查看有几个winlogon进程只能知道当前有几个用户登陆主机。这个办法也是给一个参考而已吧，给一个例子，这样应该好理解一点：
在主机上运行pulist.exe(至于如何才能在主机上运行pulist.exe，我想这个问题也不用说了吧),进程情况：
PID Path
0 [Idle Process]
8 [System]
160 \SystemRoot\System32\smss.exe
184 \??\C:\WINNT\system32\csrss.exe
208 \??\C:\WINNT\system32\winlogon.exe －－－－这个
680 C:\WINNT\System32\svchost.exe
404 C:\WINNT\Explorer.EXE
1088 \??\C:\WINNT\system32\csrss.exe
1084 \??\C:\WINNT\system32\winlogon.exe －－－－还有这个

在这个上面我们发现了有二个的winlogon.exe，就可以知道目前有2个用户通过本地或终端服务登陆主机，结合上面说的判定方法，使用netstat 查看TCP端口连接：

Num LocalIP Port RemoteIP PORT Status

10 192.168.0.1 3389 192.168.2.1 1071 Established －－－－终端的

可以看出使用的是终端3389连接。

一般有两个要考虑是有人远程控制
建议立即将杀毒软件升级到最新，进行全盘杀毒
在上网时候最好开启最新版的防火墙
比如瑞星

很多rundll32.exe，svchost.exe都是正常的。但两个smss.exe,winlogon.exe,csrss.exe都不对，都是一个才行，所以，你的电脑中毒了。你可以在WINDOWS目录里看看，这个文件就在那个目录，但是结束不了进程，所以你也删除不了它。你可以用进程管理软件如proceXP软件来结束（系统的进程管理器是结束不了的）它，然后删除那几个文件，然后用注册表修复工具修复文件关联如瑞星注册表修复工具。然后清理注册表启动项目，杀毒。这个毒不好办。实再不行，你可以把SYSTEM32目录下的CMD.exe复制一个来改名为winlogon.exe放在WINDOWS目录（我这样操作很好，呵呵），可以把毒骗过的。