前几天中了勒索病毒，还好工作文件都没出问题，不重要的文件被锁了一些，大概率是利用的远程。 
现在看火绒记录，每次开机C:\Windows\System32\winlogon.exe连接36.155.116.35:443正常吗？ 
搜了下，应该不会连接外链啊，但看着文件也是正常的，有数字签名，也用 sfc /scannow恢复过，都看着正常的。 
下面这是火绒的记录： 
协议：TCP 
远程地址：36.155.116.35:443 
本地地址：192.168.0.88:50072 
网络操作：联出 
操作结果：已允许 
进程ID：1180 
操作进程：C:\Windows\System32\winlogon.exe