卡巴斯基的主动防御

正常的Winlogon.exe这个进程是Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe，然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。

正常的Inetinfo.exe进程是IIS Admin Service，允许此服务器管理 Web 和 FTP 服务。如果此服务被停止，服务器将不能运行 Web，FTP，NNTP，SMTP 站点，或配置 IIS。该进程属 Windows 系统服务。

这2个进程应该不是在你机器的现在这个位置下的，前一阵有一种蠕虫病毒侵入电脑后会释放几个文件到C:\Documents and Settings\liang\Local Settings\Application Data目录下，这2个文件是列其中的。

至于 进程文件ElnorB.exe
进程位置： WINDOWS\ShellNew
程序名称： Troj_Win32.Robknot
程序用途： 通过邮件传播，修改破坏系统设置的蠕虫病毒。
进程分析： 该病毒修改注册表创建Run/Bron-Spizaetus项实现自启动。病毒执行拒绝服务攻击（通过PING），修改Hosts文件，修改桌面主题，修改C:\autoexec.b