提起Winlogon，許多WinXP用戶可能都不知道，但是大家卻經常用到它!當你按下Ctrl+Alt+Del時，Winlogon就激活了，此時你會看到一個Windows安全窗口，窗口中顯示當前登陸帳號和登陸時間，還有“鎖定計算機”、“注銷”、“關機”、“更改密碼”、“任務管理器”等按鈕。

　　一、Winlogon是什么?

　　Winlogon.exe是Windows XP登錄管理器，位于C:\Windows\System32目錄下，主要用于管理XP用戶的登錄和退出，處理用戶登錄和注銷任務。

　　當你按Ctrl+Alt+Del然后選擇“任務管理器”，在進程列表中即可看到Winlogon.exe(圖1)進程，其占用空間大小是動態變化的──與用戶登錄的時間有關。如果你登錄XP系統一個小時左右，該進程將會占用1.2MB～8.5MB內存空間。

圖 1

　　二、檢查你的Winlogon.exe是否正常?

　　由于Winlogon.exe是系統啟動必需的進程、非常重要，所以目前很多木馬程序都盯上了它!例如國產木馬程序中有個叫PcShare的，當你感染它之后，它就會自動把自己的進程插入到Winlogon.exe進程中;以后一旦你啟動系統，PcShare就會隨Winlogon.exe一起運行，而且還能躲過大部分網絡防火墻的攔截。

　　正因為Winlogon.exe特別容易染上病毒和木馬，所以關注Winlogon.exe是否染毒就很有必要了，那么如何檢查Winlogon.exe是否正常呢?建議你從以下幾點來考察：

　　1、檢查Winlogon.exe的名稱與路徑

　　與其他系統進程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一樣，Winlogon.exe的名稱也是不區分大小寫的，假如你在任務管理器中發現，Winlogon.exe有時是大寫、有時又是小寫，這也是正常的!不過你可要仔細檢查，其名稱中那個“O”到底是字母O、還是數字0?如果是數字0，Winlog0n.exe肯定就是病毒啦!

　　其次還要檢查Winlogon.exe所在的路徑，正常的Winlogon.exe應該位于C:\Windows\System32目錄下、并且是以 SYSTEM 用戶運行的。如果你在任務管理器中發現它是以非SYSTEM 用戶運行的，或者其所在路徑是%Windows%，那么這個Winlogon.exe肯定也染上病毒了!

　　2、Winlogon.exe不會自動要求連接網絡

　　Winlogon.exe是一個本地進程，所以它是絕對不會自動要求連接網絡的!假如你啟動TCPView2.4(下載地址http://www.mydown.com/soft/network/netassistant/496/403496.shtml)，發現在進程列表中(圖2)有Winlogon.exe進程打開某端口監聽、要求連接網絡，那么這個Winlogon.exe肯定是被木馬程序劫持了，應該盡快清除之。

圖 2

　　另外建議你運行一下軟件Auto runs(下載地址http://www.mydown.com/soft/18/18943.html)，然后選擇Winlogon.exe，檢查它啟動了哪些文件。正常情況下，Winlogon.exe應該啟動了1個執行文件logonui.exe和6個dll文件，具體名稱如下(如圖3)，如果不是這些文件，就非常可疑了!

圖 3