dnyh

楼主； 正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马
补充； 不一定是病毒,XP有这个系统进程.打不开反病毒网站是因为被劫持了HOST文件..

到网上搜索一个winlogon.exe专杀工具吧！