急，不知道是不是病毒？进程有2个winlogon.exe

这几天服务器总是莫名其妙的被关机了！也不知道怎么回事情
今天狠下心把IIS重装了，发现卫视360的网络链接里面莫名其妙的多了一个winlogon的远程连接，一查IP竟然是连接到一个河南的IP主机上面，连接的是对方的80端口，我敢肯定服务器是被人控制了，查了一下winlogon是远程连接的进程，我也不敢瞎禁止，怕把自己给关在服务器外面了，查一下系统进程有2个winlogon.exe
我也不知道怎么搞，请高手求教！

都没有个人来帮忙搞一下，落伍的高手们，出来啊，只盼你们金口一开，赐教几句箴言，不胜感激涕零！

不是的，我也有两个

关键是，另外一个竟然显示监听，连接的另外一个IP的80端口，解释一下啊？
我关闭这个进程后，自己就从远程登录里面跳出来了，再登录的话出现了！

大概情况测试了一下，我用了2个用户的话，就有3个winlogon.exe，但是通常应该没有IP监听的？

你点击显示所有用户进程嘛...

看看所属用户名是哪一个？除去你用的一个，另外一个就是其他人的了

花钱请了落伍高人解决了，有人MYSQL注入入侵了服务器，装了后门，怕怕，再观望几天，把IIS重新装了一遍，MYSQL服务权限也设置了一下，日志查不出来，可能是高手把入侵日志删除了！
唉，没办法，一山还有一山高！上次最可恨的，一个垃圾游戏站，被人黑了在目录放下放SEO关键词生成工具和挂马，害lao zi的权重被百度降光了，IP直接从3W掉到2000，没办法，直接关站，继续造垃圾

找高手学习服务器安防与反入侵高阶技术，本人只会做网站，不会搞服务器安防，除了普通的权限安防设置之外，对高深的安全防护原理都不是很懂，人民币拜师！
半桶水或是发现技术比我差忽悠人者免PM

如果会制作dedecms模板可与我交换.