Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:WindowsSystem32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。

检查Winlogon.exe是否正常

由于Winlogon.exe是系统启动必需的进程、非常重要，所以目前很多木马程序都盯上了它!例如国产木马程序中有个叫PcShare的，当你感染它之后，它就会自动把自己的进程插入到Winlogon.exe进程中;以后一旦你启动系统，PcShare就会随Winlogon.exe一起运行，而且还能躲过大部分网络防火墙的拦截。
正因为Winlogon.exe特别容易染上病毒和木马，所以关注Winlogon.exe是否染毒就很有必要了，那么如何检查Winlogon.exe是否正常呢?建议你从以下几点来考察：
检查Winlogon.exe的名称与路径
与其他系统进程(如SMSS.EXE、LSASS.EXE、CSRSS.EXE 等)一样，Winlogon.exe的名称也是不区分大小写的，假如你在任务管理器中发现，Winlogon.exe有时是大写、有时又是小写，这也是正常的!不过你可要仔细检查，其名称中那个“O”到底是字母O、还是数字0?如果是数字0，Winlog0n.exe肯定就是病毒啦!
其次还要检查Winlogon.exe所在的路径，正常的Winlogon.exe应该位于C:WindowsSystem32目录下、并且是以 SYSTEM 用户运行的。如果你在任务管理器中发现它是以非SYSTEM 用户运行的，或者其所在路径是%Windows%，那么这个Winlogon.exe肯定也染上病毒了!
Winlogon.exe不会自动要求连接网络
Winlogon.exe是一个本地进程，所以它是绝对不会自动要求连接网络的!假如你启动TCPView2.4，[2]发现在进程列表中有Winlogon.exe进程打开某端口监听、要求连接网络，那么这个Winlogon.exe肯定是被木马程序劫持了，应该尽快清除之。
另外建议你运行一下软件Auto runs，然后选择Winlogon.exe，检查它启动了哪些文件。正常情况下，Winlogon.exe应该启动了1个执行文件logonui.exe和6个dll文件，具体名称如下，如果不是这些文件，就非常可疑了!

经案例

最近出现一个名为“落雪”的病毒，这个病毒非常厉害，能破坏木马克星，使其不能正常运行。它由VB 程序语言编写，通过北斗壳加壳处理，该木马文件图标一般是红色的图案，伪装成网络游戏的登录器。病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见。事实上这14个不同文件名的病毒文件系同一种文件，“落雪”之名亦可能由此而来。该木马另一狡诈之处就是创建一名为winlogon.exe的进程，并把其路径指向c:windowswinlogon.exe（正常的系统进程路径是C:WINDOWSsystem32 winlogon.exe），以此达到迷惑用户的目的。

不可或缺的Winlogon

悟空问道：“教授，今天我们学习哪个进程啊？”谭教授：“悟空，你每天启动操作系统的时候，有没有想过系统的启动和哪些进程有关呢？”看着悟空抓耳挠腮的样子，谭教授明白他一定是没有注意到，于是说：“今天我们就来讲解一下这个和系统启动相关的进程——Winlogon.exe。”

小知识：Winlogon.exe是Windows NT登录管理器。它用于处理用户系统的登录和登录过程，并且管理用户的登录和退出。Winlogon在用户按下Ctrl+Alt+Del时就激活了，显示安全对话框。该进程在用户系统中的作用是非常重要的。