Umfd 0 что это за процесс windows 10 - Доктор Windows

Хотите знать, что делает fontdrvhost.exe на вашем компьютере с Windows 10? Это действительный файл? Это вирус? Великолепные вопросы. Вот что вам нужно знать.

Если вы просматриваете диспетчер задач на компьютере с Windows 10, вы увидите fontdrvhost.exe работает в фоновом режиме. Это действительный файл? Это вирус? Давайте рассмотрим, что это такое.

Прыжки до конца — все хорошо; это не вирус. Если у вас Windows 10 и последние обновления, вам не нужно беспокоиться о fontdrvhost.exe. Usermode Font Driver Host (fontdrvhost.exe) — исполняемый файл, созданный Microsoft и встроенный в ядро ОС.

В начале 2020 года Microsoft повысила безопасность этого исполняемого файла и теперь он работает в AppContainer. Это означает, что если этот процесс будет захвачен, например, вредоносным ПО, он получит только разрешение внутри этого контейнера, а не все ядро.

До того, как fontdrvhost.exe запустился в ядре и, в случае его взлома, потенциально мог поставить под угрозу безопасность всей системы. Это все еще относится к Windows 7, 8 и не обновленной Windows 10.

Если вы используете Windows 10 и используете последние обновления, вы в безопасности. Если вы работаете в Windows 7 или Windows 8, для защиты системы, указанной в руководстве по обновлению безопасности Microsoft, можно применить некоторые меры по устранению недостатков и обходные пути. ADV200006.

Файл fontdrvhost.exe в Windows 10 (версия 1909) имеет размер 802KB и находится в папке C: Windows System32. Microsoft.

UMFD-0? Это кто?

В диспетчере задач на вкладке «Сведения» и расположении файла fontdrvhost.exe вы увидите, что в обновленных системах Windows 10 исполняемый файл запускается под именем пользователя UMFD-0.

UMFD-0 — системная учетная запись, созданная Каркас драйвера пользовательского режима компонент, и он получил ограниченное разрешение только для задач шрифтов, которые он должен выполнить.

Вы не можете войти в систему как пользователь UMFD-0 в системе, поскольку у него даже нет разрешения на запуск процесса explorer.exe.

Идентификатор безопасности (SID) этих учетных записей всегда начинается с S-1-5-96-0 (по сравнению со стандартной учетной записью пользователя, которая начинается с S-1-5-21).

Чтобы узнать SID для ваших стандартных локальных учетных записей, вы можете зайти в привилегированный cmd.exe и запустить следующую команду:

wmic useraccount list full

Не волнуйтесь, fontdrvhost.exe является легальным файлом

Как мы уже говорили, fontdrvhost.exe — это системный файл Microsoft. Были некоторые проблемы безопасности с уязвимостями файла данных. Поэтому убедитесь, что вы используете Windows 10 и последние обновления, и вы в безопасности.

В Windows 7 и Windows 8 файл также допустим, но может иметь уязвимость безопасности. Но если вы следуете руководству по обновлению безопасности Microsoft, вы в безопасности.

Если возникнут какие-либо проблемы, вы можете проверить, что файл подписан Microsoft и работает из папки С: windows system32.

В диспетчере задач убедитесь, что он работает под пользователем UMFD-0. Это помогает нам убедиться, что это не файл подражателя, запущенный из другого места.

У вас есть дополнительные вопросы о fontdrvhost.exe, на которые я не ответил? Пожалуйста, оставьте свой вопрос или комментарий на нашем бесплатном Windows 10 дискуссионный форум.

Источник

Содержание

defaultuser0 — что это? (Windows 10)
Разбираемся
Добавить комментарий Отменить ответ
Что такое Usermode font driver host?
За что отвечает fontdrvhost.exe?
Какие проблемы бывают с fontdrvhost.exe?
Что такое fontdrvhost.exe и почему он работает?
Что такое fontdrvhost.exe?
UMFD-0? Это кто?
Не волнуйтесь, fontdrvhost.exe является легальным файлом
Umfd 0 пользователь windows 10 что это
Общие обсуждения
Все ответы
Учетная запись defaultuser0 в Windows 10 и как ее удалить?
Что такое учетная запись «defaultuser0» в Windows 10 и почему вы должны заботиться о ней?
Как удалить defaultuser0 В операционной системе Windows 10?

defaultuser0 — что это? (Windows 10)

Привет всем

defaultuser0 — учетная запись, которая создается при первоначальной настройке Windows при ее установке/настройке, должна сама автоматически удаляться.

Простыми словами: когда ставите виндовс, до того как укажите имя пользователя, пароль, есть еще некоторые настройки, вот чтобы их можно было настроить — и нужна учетка defaultuser0. А когда все поставили, выполнили перезагрузку компьютера, эта учетка должна автоматом удаляться, но почему-то этого не делает.

Предупреждаю — перед всякими махинациями на ПК лучше создать контрольную точку восстановления!

Разбираемся

Алгоритм удаления учетки defaultuser0:

Собственно сама папка defaultuser0:

Удаление пользователя через lusrmgr.msc:

Удаление раздела в реестре:

Еще бывает, что при входе в систему отображается учетка defaultuser0:

При желании учетку можно не удалять (особенно если вес каталога пользователя небольшой), вместо этого ее можно скрыть:

Кстати есть команда и для удаления пользователя: net user defaultuser0 /delete.

Надеюсь информация помогла. Удачи и добра victory

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Источник

Что такое Usermode font driver host?

В Windows 10 если перейти на вкладку “Подробности” диспетчера задач, то там можно обнаружить процесс fontdrvhost.exe. В описании к нему чуть правее отображается название Usermode font driver host. Что же это за драйвер такое и почему некоторые пользователи отмечают подозрительную высокую активность данного процесса на своем компьютере?

За что отвечает fontdrvhost.exe?

Данный процесс является исполняемым для драйвера Usermode font driver host, который в свою очередь отвечает за корректное отображение шрифтов в программах и операционной системе в целом.

Вызвав его свойства все в том же диспетчере устройств можно обратить внимание что он запускается из системной папки C:WindowsSystem32. Это говорит о том, что fontdrvhost.exe является важным системным процессом, который не стоит пытать отключить.

Какие проблемы бывают с fontdrvhost.exe?

Некоторые пользователи отмечают повышенную нагрузку на процессор, которую создает данный процесс. Но не стоит сразу паниковать. Просто подождите пару дней, а лучше оставьте компьютер включенным на ночь, так как это может быть следствием обновления системы или какой – то ее части, из-за чего пару дней может наблюдаться повышенная активность процесса fontdrvhost.exe.

Если же его высокая активность длится несколько дней и создает определенный дискомфорт работы на компьютере, то не исключено что к вам попал вирус и под видом процесса fontdrvhost.exe оказывает негативное влияние на ПК.

В этом случае стоит проверить компьютер вот этим бесплатным антивирусом, не требующим установки, а также вот этой оптимизирующей программой.

Источник

Что такое fontdrvhost.exe и почему он работает?

Что такое fontdrvhost.exe?

UMFD-0? Это кто?

Не волнуйтесь, fontdrvhost.exe является легальным файлом

Источник

Umfd 0 пользователь windows 10 что это

trans

Общие обсуждения

trans

Доброго времени суток

Не так давно я решил перейти на Windows 10 и разбираясь с какой то проблемой наткнулся на странную учетную запись в реестре в разрешениях, а именно в ветке HKEY_CURRENT_USER причем на верхнем уровне её нету, а выглядит она вот так Неизвестная учетная запись(S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681), сначала я подумал что это какая то хитрая учетка от Касперского, но установив Windows с нуля я снова увидел в реестре эту запись. Кто сможет внятно пояснить зачем Microsoft оставила эту пакость?

Все ответы

trans

Скорее всего это пользователь defaultuser0, который появился после обновления 1607.

Подобная тема обсуждена в английской ветке: Windows 10 Anniversary Update: The case of the mysterious account SID causing the flood of DCOM errors

I will be glad to help you with the issue you have with the user account.

If you don’t need the user account, you can delete it.

3. Удалить в реестре профиль учетной записи defaultuser0 в следующей ветке

P.S. Но все рекомендации со сторонних форумах если будете выполнять, только на свой страх и риск.

trans

Дело в том, что я проверил все аккаунты и у них другие SIDы wmic useraccount list full

S-1-5-21-3290144209-811610085-3854311798-503 (DefaultAccount)
S-1-5-21-3290144209-811610085-3854311798-1000 (defaultuser0)
S-1-5-21-3290144209-811610085-3854311798-1001 (моя)
S-1-5-21-3290144209-811610085-3854311798-500 (Администратор)
S-1-5-21-3290144209-811610085-3854311798-501 (Гость)

S-1-15-3-1024-1065365936-1281604716-3511738428-1654721687-432734479-3232135806-4053264122-3456934681 а этот мало того что начинается с других цифр, но еще и в два раза длиннее.

trans

Покажите пожалуйста результат следующей команды в командной строке (cmd.exe):
также:

trans

PS C:Windowssystem32> reg query «HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList» /s

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
Default REG_EXPAND_SZ %SystemDrive%UsersDefault
ProfilesDirectory REG_EXPAND_SZ %SystemDrive%Users
ProgramData REG_EXPAND_SZ %SystemDrive%ProgramData
Public REG_EXPAND_SZ %SystemDrive%UsersPublic

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileListS-1-5-18
Flags REG_DWORD 0xc
ProfileImagePath REG_EXPAND_SZ %systemroot%system32configsystemprofile
RefCount REG_DWORD 0x1
Sid REG_BINARY 010100000000000512000000
State REG_DWORD 0x0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileListS-1-5-19
ProfileImagePath REG_EXPAND_SZ C:WindowsServiceProfilesLocalService
Flags REG_DWORD 0x0
State REG_DWORD 0x0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileListS-1-5-20
ProfileImagePath REG_EXPAND_SZ C:WindowsServiceProfilesNetworkService
Flags REG_DWORD 0x0
State REG_DWORD 0x0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileListS-1-5-21-3290144209-811610085-3854311798-100
0
ProfileImagePath REG_EXPAND_SZ C:Usersdefaultuser0
Flags REG_DWORD 0x0
State REG_DWORD 0x0
Sid REG_BINARY 010500000000000515000000D19D1BC4E52F60307621BCE5E8030000
ProfileAttemptedProfileDownloadTimeLow REG_DWORD 0x0
ProfileAttemptedProfileDownloadTimeHigh REG_DWORD 0x0
ProfileLoadTimeLow REG_DWORD 0x0
ProfileLoadTimeHigh REG_DWORD 0x0
RefCount REG_DWORD 0x0
RunLogonScriptSync REG_DWORD 0x0

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileListS-1-5-21-3290144209-811610085-3854311798-100
1
ProfileImagePath REG_EXPAND_SZ C:Users******
Flags REG_DWORD 0x0
State REG_DWORD 0x0
Sid REG_BINARY 010500000000000515000000D19D1BC4E52F60307621BCE5E9030000
ProfileAttemptedProfileDownloadTimeLow REG_DWORD 0x0
ProfileAttemptedProfileDownloadTimeHigh REG_DWORD 0x0
ProfileLoadTimeLow REG_DWORD 0x0
ProfileLoadTimeHigh REG_DWORD 0x0
RefCount REG_DWORD 0x4
RunLogonScriptSync REG_DWORD 0x0

А вторая команда выдаёт вполне справедливый ответ «Недопустимый параметр для этого уровня.»

Источник

Учетная запись defaultuser0 в Windows 10 и как ее удалить?

Публикация: 20 September 2016 Обновлено: 8 July 2020

Узнайте, что это учетную запись defaultuser0 в Windows 10 и почему вы не должны ее игнорировать! Также читайте, как отключить / удалить defaultuser0 используя lusrmgr, в этой статье.

Что такое учетная запись «defaultuser0» в Windows 10 и почему вы должны заботиться о ней?

Но вы можете подумать, что произойдет, если вы не удалить его?

Ну из опыта прошлых лет, было замечено, что иногда defaultuser0 может создавать сложные ситуации для вас, как:

1. Вы выполнили сброс в Windows 10. Затем Windows 10 заставляет вас войти в систему как ‘ defaultuser0 ‘ (выше изображение иллюстрирует это). Но запись не имеет пароля, соответственно вход не возможен. Теперь вам придется сделать, чистую установку системы, потеряв свои данные и потратив свое время.

2. В некоторых случаях defaultuser0 снова появляется после чистой установки и все может повторится.

Как удалить defaultuser0 В операционной системе Windows 10?

Так как ‘ defaultuser0 ‘ может быть безопасно удалена, лучше всего, удалить ее, как только вы заметите ее присутствие. Тем не менее, если вы хотите сохранить эту учетную запись, необходимо, установить пароль для нее.

1. Загрузите Windows 10 в безопасном режиме .

2. Откройте оснастку lusrmgr, набрав lusrmgr.msc с помощью команды Выполнить.

3. Откройте папку Пользователи и правой кнопкой мыши кликните на записи defaultuser0. Выберите Удалить.

Закройте оснастку lusrmgr.

6. В левой панели окна редактора реестра, перейдите к следующему разделу реестра:

Папку в которой найдется defaultuser0 нужно удалить. Кликните правой кнопкой мыши на ней и выберите Удалить. Закройте редактор реестра. Перезагрузитесь в нормальный режим работы.

Таким образом, учетная запись defaultuser0 будет полностью удалена.

Если вы решили не удалять defauluser0, вы можете пойти другим путем, установить пароль для него.

1. Повторите шаги 1 и 2 из первого варианта.

3. Затем нажмите кнопку Продолжить :

5. Вы получите подтверждение того, что был установлен пароль для defaultuser0, теперь вы можете расслабиться. Перезагрузитесь в нормальный режим работы.

Источник

Wondering what fontdrvhost.exe is doing running on your Windows 10 machine? s it a valid file? Is it a virus? Great questions. Here’s what you need to know.

If you’re going through Task Manager on a Windows 10 machine, you will see fontdrvhost.exe running in the background. Is it a valid file? Is it a virus? Great questions. Let’s review what it is and if you should be concerned or not.

Jumping right to the end — everything is fine; it is not a virus. If you have Windows 10 and the latest updates, you don’t need to worry about fontdrvhost.exe. The Usermode Font Driver Host (fontdrvhost.exe) is an executable created by Microsoft and built into the core OS.

Fontdrvhost.exe is a Windows system process. Also known as Usermode Font Driver Host, the fontdrvhost.exe process is responsible for managing fonts on your Windows system. It’s around 802KB in size (as of Windows 10 version 1909) and is typically found in the System32 folder.

In early 2020 Microsoft increased security of this executable, and it now runs in an AppContainer. This means that, if this process gets hijacked by malware, it can only breach the container, not the whole kernel. Before fontdrvhost.exe ran within the core and, if hijacked, could potentially risk the security of the entire system.

That is still the case for Windows 7, 8, and non-updated Windows 10. If you are running Windows 10 and have run the latest updates, you are safe. If you are running Windows 7 or Windows 8, there are some mitigations and workarounds you can put in place to secure the system listed in Microsoft security update guide ADV200006.

UMFD-0? Who is that?

In Task Manager under tab Details and locating fontdrvhost.exe, you will on updated Windows 10 systems see that the executable runs under user name UMFD-0.

UMFD-0 is a system account generated by the User Mode Driver Framework component, and it got limited permission only for the font tasks it needs to execute. You cannot log in as UMFD-0 user on a system as it doesn’t even have permission to run an explorer.exe process.

The Security Identifier (SID) of these accounts always starts with S-1-5-96-0 (compared to a standard user account that starts with S-1-5-21). To find out about SID for your standard local accounts you can go in an elevated cmd.exe run the following command:

wmic useraccount list full

Don’t worry: fontdrvhost.exe is a legit file

As we’ve discussed, fontdrvhost.exe is a Microsoft system file. There have been some security issues with the vulnerabilities of the data file. So make sure you are running Windows 10 and the latest updates, and you are safe. On Windows 7 and Windows 8, the file is also legit but could have a security vulnerability. But if you’re following the Microsoft security update guide you are safe.

If any issues, you can verify that the file is signed by Microsoft and running from c:windowssystem32 folder. In Task Manager verify that it runs under the UMFD-0 user. It helps us to ensure it is not a copycat file running from another location.

Do you have additional questions about fontdrvhost.exe, which I didn’t answer? Please post your question or comment on our free Windows 10 discussion forum.

Источник

I’m seeing the following data for an event.

An account was logged off Security ID S-1-5-90-0-10
                           account name DWM-10 at 00:01:24 
                                        DWM-9  at  00:01:36
                           Security Id S-1-5-96-0-9            
                                       UMFD-9 at  00:01:36 logged off

Please explain what it means, especially when I did not log on?

Seth

8,8251 gold badge17 silver badges33 bronze badges

asked Jan 26, 2018 at 10:41

S-1-5-96-0-9

S-1-5-90-0-10

Both of these users are known system accounts. In this case, S-1-5, belongs to NT_AUTHORITY

A SID containing only the SECURITY_NT_AUTHORITY identifier authority.

Source: Well-Known SID Structures

Please explain what it means, especially when I did not log on?

Nothing unusual happened.

answered Jan 26, 2018 at 10:54

RamhoundRamhound

40.3k34 gold badges100 silver badges127 bronze badges

Accounts beginning with S-1-5-90-0 (account names DWM-x) are generated on the fly by the Desktop Window Manager component for its system services.

Accounts beginning with S-1-5-96-0 (account names UMFD-x) are generated on the fly by the User Mode Driver Framework component for its system services.

(Ordinary user accounts begin with S-1-5-21.)

The behaviour you’re observing is perfectly normal.

answered Feb 14, 2019 at 21:33

Harry JohnstonHarry Johnston

5,6647 gold badges30 silver badges55 bronze badges

Источник

I’m seeing the following data for an event.

An account was logged off Security ID S-1-5-90-0-10
                           account name DWM-10 at 00:01:24 
                                        DWM-9  at  00:01:36
                           Security Id S-1-5-96-0-9            
                                       UMFD-9 at  00:01:36 logged off

Please explain what it means, especially when I did not log on?

Seth

8,8251 gold badge17 silver badges33 bronze badges

asked Jan 26, 2018 at 10:41

S-1-5-96-0-9

S-1-5-90-0-10

Both of these users are known system accounts. In this case, S-1-5, belongs to NT_AUTHORITY

A SID containing only the SECURITY_NT_AUTHORITY identifier authority.

Source: Well-Known SID Structures

Please explain what it means, especially when I did not log on?

Nothing unusual happened.

answered Jan 26, 2018 at 10:54

RamhoundRamhound

40.3k34 gold badges100 silver badges127 bronze badges

Accounts beginning with S-1-5-90-0 (account names DWM-x) are generated on the fly by the Desktop Window Manager component for its system services.

Accounts beginning with S-1-5-96-0 (account names UMFD-x) are generated on the fly by the User Mode Driver Framework component for its system services.

(Ordinary user accounts begin with S-1-5-21.)

The behaviour you’re observing is perfectly normal.

answered Feb 14, 2019 at 21:33

Harry JohnstonHarry Johnston

5,6647 gold badges30 silver badges55 bronze badges

Источник

fontdrvhost.exe и usermode font driver host что это такое?

Что такое Usermode font driver host?

Расположение

Какие проблемы бывают с fontdrvhost.exe?

Лучшая благодарность автору — репост к себе на страничку:

Источник