在网上浏览过一些网页，对winlogn.exe做过介绍。但是又有文章说winlogn.exe有可能是病毒，请见如下文章：
  网络蠕虫程序I-Worm/Welyah 的清除 
　　北京江民新科技术有限公司病毒快速反应小组最新捕获新的网络蠕虫程序：I-Worm/Welyah, 该病毒使用的是Visual B编写的，该网络蠕虫程序与其他的网络蠕虫一样，是通过利用微软的Outlook邮件客户端程序的漏洞
来传播的。

　　我们知道微软的OUTLOOK邮件客户端程序*.wab和*.mbx程序文件中存放着一些电子邮件地址信息，另外的邮件程序还有以下的一些文件扩展名称：EML、DBX、XLS、XLT、MDB等。该网络蠕虫程序正是通过搜索这些文件来获得传播该网络蠕虫程序自身的电子邮件程序，而且该网络蠕虫不使用OUTLOOK程序设置的SMTP（发送邮件服务器）来发送邮件，而是使用自身的SMTP引擎来发送EMAIL带病毒信件。

　　SMTP的邮件地址是210.177.111.***, 域名是：mail.*****speed.com.hk。

　　含有病毒的邮件的附件是一个TXT纯文本文件，扩展名称还含有pif。

　　当该网络蠕虫被自动执行后，它将自身拷贝到WINDOWS的目录下，文件名称是Winlogon.exe,并且修改系统的注册表项目，使得每次系统启动时，该网络蠕虫程序都会被执行。修改的注册表的键值是：

　　[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winlogon]

　　除了文件Winlogon.exe外，它还会在当前目录下释放文件EMAIL.TXT以及EMAILINFO.TXT文件，这两个文件的内容是：EMAIL.TXT文件是病毒程序本身；EMAILINFO.TXT文件是邮件感染的地址列表。

　　该网络蠕虫利用的微软的MIME漏洞是：

　　http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

　　在IE5.01、IE5.5以及IE6下的补丁程序分别是如下的下载地址：

　　http://www.microsoft.com/windows/ie/downloads/recommended/ie501sp2/default.asp

　　http://www.microsoft.com/windows/ie/downloads/recommended/ie55sp2/default.asp

　　http://www.microsoft.com/windows/ie/downloads/ie6/default.asp

　　该网络蠕虫有变种，该网络蠕虫程序还有破坏性，驻留内存，发送带病毒邮件直接通过SMTP命令来发送，通过的是电子邮件来发送：含有病毒的信件的格式如下：

　　信件的主题是:Welcome to Yahoo!Mail

　　信件的内容是：Welcome to Yahoo!Mail

　　信件的附件文件名称是：README.TXT______________.PIF

　　值得一提的是，这个网络蠕虫程序的附件文件名称：README.TXT______________.PIF

　　比较有特点是这个附件的两个扩展名称TXT和PIF之间的空格长达125个空格，一般的用户会误认为没有PIF这个扩展名称。该网络蠕虫程序的破坏性表现在会随机删除当前目录下的文件。由于网络蠕虫将该病毒文件存放在WINDOWS的目录下，因此会随机删除WINDOWS下的系统文件，病毒修改的注册表键值如下：

　　(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE

　　(2)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE

　　(3)HKEY_USER\.Default\Software\Microsoft\Windows\CurrentVersion\Run删除键数值：WINLOGON.EXE 其数值是：Windows\WINLOGON.EXE

　　内置的EXE文件不会在MICROSOFT OUTLOOK中看出来，附件的文件的类型是：audio/x-wav(声音文件),如果您不打补丁的话，当使用OE打开邮件时候，通常默认的应用程序Windows Media Player(媒体播放器)会自动将该文件打开。该网络蠕虫程序使用一个FTP服务器ftphd.pchome.com.tw并且使用内置的用户名称或者密码，
建立一个感染病毒的EMAIL地址。

上面的文章提到了winlogon.exe，怎样才能区别系统中进程winlogon.exe是不是感染了病毒。
小弟愚钝，还请高手指点！叩谢了再此！

【回复“bluebell”的帖子】
正常的winlogon.exe在System32文件夹中，在Windows文件夹下的是病毒文件。

哦，明白了，谢谢了！
那么任务管理器当中怎样识别有异常的进程呢，也就是说怎样判断有可能是病毒呢？！

【回复“bluebell”的帖子】
看路径关键

要终止的进程与系统进程同名，无法终止的话，建议使用第三方进程管理软件，比如HijackThis自带的进程管理器来终止其进程<下面的叙述以1.99.1版为准>——打开HijackThis——打开混合工具箱——打开进程管理器——选中要终止的进程——点“结束进程”）

哦，知道了，十分感谢！

【回复“bluebell”的帖子】
呵呵，这个不好说，介绍几种常见情况吧：
1、伪装：SVH0ST.EXE（中间是阿拉伯数字零）；
2、同名进程：上面提到了；
3、插入进程而隐蔽：Rootkit系，使用IceSword使其现形。

哦！多谢各位达人！真是受益匪浅阿！非常感谢阿！