专科去加拿大留学:关于大写WINLOGON.EXE的不解。

这个进程用户名的确是SYSTEM，占用内存有可能是机器不同会有差异，我看了一下我的，是4400k
不过还是用杀毒软件检查一下进程为好
正常的winlogon.exe应该是在system32文件夹中

WinLogon.exe是系统登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建

正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。 而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 进程查看方式 ctrl+alt+del ，然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。
这个木马非常厉害，能破坏掉木马XX和常用的杀毒软件，使其不能正常运行。目前我使用江民杀毒软件未能查出，连瑞星在线杀毒对它都没有查出来，并且使防火墙处于无法启动状态，在清除病毒之后也不能启动，我不得不重新再安装一次防火墙。
在WINDOWS下的WINLOGON.EXE确实是病毒。但是，它不过是这个病毒中的小角色而已，大家打开D盘看看是否有一个pagefile的DOS指向文件（有的版本病毒还有autorun.inf文件），我机器里的pagefile不是隐藏的，而是光明正大的存在D盘里，删这个文件是没用的，因为它关联了很多东西，甚至在安全模式都存在，只要运行任何程序，或者双击打开D盘，它会重新出现在D盘。网上有的网友说叫这个病毒为 ”落雪“ 是专门盗传奇、传奇世界的木马，同时它还将将杀毒软件里的设置进行了改变，不能启动防火墙，强制手工启动时，会出现一个窗口说防火墙某个文件失效，被windows 关闭。真的好可恨！！
用落雪木马专杀可以清除