В операционной системе windows nt процесс winlogon является активным

Одним из основных процессов Windows является WINLOGON.EXE. Он обеспечивает вход в систему и выход из неё.

Содержание

  • Сведения о процессе
    • Основные задачи
    • Размещение файла
    • Подмена вредоносной программой
  • Вопросы и ответы

Процесс WINLOGON.EXE в Windows

WINLOGON.EXE – это процесс, без которого невозможен запуск ОС Windows и её дальнейшее функционирование. Но иногда под его личиной кроется вирусная угроза. Давайте разберемся, в чем состоят задачи WINLOGON.EXE и какая опасность может исходить от него.

Сведения о процессе

Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».

Процесс WINLOGON.EXE в Диспетчере задач Windows

Какие же функции он выполняет и зачем нужен?

Основные задачи

Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.

Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).

Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.

Завершение работы системы через меню Пуск в Windows

При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.

Размещение файла

Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.

  1. Для того, чтобы определить место расположения файла с помощью Диспетчера задач, прежде всего нужно переключиться в нем в режим отображения процессов всех юзеров, произведя нажим на соответствующую кнопку.
  2. Включение режима отображения процессов всех пользователей в Диспетчере задач Windows

  3. После этого кликаем правой кнопкой мышки по наименованию элемента. В раскрывшемся перечне выбираем «Свойства».
  4. Переход в свойства процесса WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  5. В окне свойств перейдите во вкладку «Общие». Напротив надписи «Расположение» находится адрес размещения искомого файла. Практически всегда этот адрес следующий:

    C:WindowsSystem32

    Место расположения файла WINLOGON.EXE в окне свойств процесса

    Lumpics.ru

    В очень редких случаях процесс может ссылаться на следующую директорию:

    C:Windowsdllcache

    Кроме этих двух директорий больше нигде размещение искомого файла невозможно.

Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.

  1. В режиме отображения процессов всех пользователей щелкните по элементу правой кнопкой мыши. В контекстном меню выберите «Открыть место хранения файла».
  2. Переход в в место расположения файла WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  3. После этого откроется Проводник в той директории винчестера, где расположен искомый объект.

Место хранения файла WINLOGON.EXE в окне Проводника Windows

Подмена вредоносной программой

Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.

  1. Прежде всего, нужно знать, что в Диспетчере задач может быть только один процесс WINLOGON.EXE. Если вы наблюдаете больше, то один из них вирус. Обратите внимание, чтобы напротив изучаемого элемента в поле «Пользователь» стояло значение «Система» («SYSTEM»). Если процесс запускается от имени любого другого пользователя, например от имени текущего профиля, то можно констатировать факт, что мы имеем дело с вирусной активностью.
  2. Имя пользователя процесса WINLOGON.EXE в Диспетчере задач Windows

  3. Также проверьте место расположения файла любым из тех способов, которые были указаны выше. Если оно отличается от тех двух вариантов адресов для данного элемента, которые допускаются, то, опять же, перед нами вирус. Довольно часто вирус находится в корне каталога «Windows».
  4. Вирус WINLOGON.EXE размещен в папке Windows

  5. Вашу настороженность должен вызвать факт высокого уровня использования ресурсов системы данным процессом. В нормальных условиях он практически неактивен и активизируется только в момент входа/выхода из системы. Поэтому потребляет крайне мало ресурсов. Если WINLOGON начинает грузить процессор и потреблять большое количество оперативки, то мы имеем дело либо с вирусом либо с каким-то сбоем в системе.
  6. Потребление ресурсов процессом WINLOGON.EXE в Диспетчере задач Windows

  7. Если хотя бы один из перечисленных подозрительных признаков имеется в наличии, то скачайте и запустите на ПК лечащую утилиту Dr.Web CureIt. Она просканирует систему и в случае обнаружения вирусов произведет лечение.
  8. Сканирование системы антивирусной утилитой Dr.Web CureIt

  9. Если утилита не помогла, но вы видите, что объектов WINLOGON.EXE в Диспетчере задач два или больше, то остановите тот объект, который не отвечает стандартам. Для этого щелкните по нему правой кнопкой мыши и выберите «Завершить процесс».
  10. Переход к завершению процесса WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  11. Откроется маленькое окошко, где вы должны будете подтвердить свои намерения.
  12. Потверждение завершения процесса WINLOGON.EXE в Диспетчере задач Windows

  13. После того, как процесс завершен, переместитесь в папку расположения того файла, на который он ссылался, щелкните по этому файлу правой кнопкой мышки и выберите в меню «Удалить». Если система того потребует, подтвердите свои намерения.
  14. Удаление вирусного файла WINLOGON.EXE с помощью контекстного меню в Проводнике Windows

  15. После этого почистите реестр и повторно проверьте компьютер утилитой, так как довольно часто файлы такого типа подгружаются посредством команды из реестра, прописанной вирусом.

    Если не удается остановить процесс или снести файл, то зайдите в систему в Безопасном режиме и выполните процедуру удаления.

Как видим, WINLOGON.EXE играет важную роль в функционировании системы. Он непосредственно отвечает за вход и за выход из неё. Хотя, почти что все время, пока пользователь работает на ПК, указанный процесс находится в пассивном состоянии, но при его принудительном завершении продолжение работы в Виндовс становится невозможным. Кроме того, существуют вирусы, которые имеют аналогичное имя, маскируясь под данный объект. Их важно в максимально короткие сроки вычислить и уничтожить.

Еще статьи по данной теме:

Помогла ли Вам статья?

   
   
Детали файла
Имя файла: 1004.01.01;Т-Т.01;2
Размер: 107 Kb
Дата публикации: 2015-03-09 03:26:03
Описание:
Операционные системы (курс 2) — Тест-тренинг

Список вопросов теста (скачайте файл для отображения ответов):

Cинонимами являются термины
Асимметричная организация вычислительного процесса может быть реализована
В 90-е годы все компании-производители операционных систем резко усилили поддержку своими системами средств работы с Интернетом, поскольку
В 90-е годы практически все операционные системы, занимающие заметное место на рын-ке, стали
В асимметричных архитектурах организация вычислительного процесса
В качестве посредника при передаче сообщений между приложениями выступает
В компьютерах 60-х годов большая часть действий по организации вычислительного процесса выполнялась
В общем случае существуют права доступа к каталогам и файлам
В операционной системе UNIX регистрационная запись средств аудита включает поля
В операционной системе Windows NT процесс Winlogon активизируется
В операционной системе Windows NT процесс Winlogon активизируется
В операционной системе Windows NT процесс Winlogon может находиться в состоянии
В операционной системе Windows NT процесс Winlogon может находиться в состоянии
В операционной системе Windows NT процесс Winlogon является активным
В операционной системе Windows NT процесс Winlogon является активным
В первых реализациях систем пакетной обработки программа-монитор хранилась на
В пользовательском режиме работы безусловно запрещено выполнение команды
В привилегированном режиме в операционной системе выполняются
В системах реального времени все устройства стремятся загрузить
В случае отказа одного из процессоров сравнительно просто реконфигурируются системы
В типичный набор средств аппаратной поддержки современных операционных систем входят компоненты
В файловых системах операционной системы UNIX права доступа к файлу определяются для
В хорошо структурированном ядре машинно-зависимые модули
Важной подсистемой окружения Windows NT, обеспечивающей GUI и управляющей вво-дом-выводом данных пользователя, является
Возможность наращивания числа процессоров называется
Возможность подключения разнообразных моделей внешних устройств гарантируется наличием в операционной системе большого количества
Время между запуском программы на выполнение и получением результата называют
Время, аппаратные, программные и другие средства, которые могут быть предоставлены вычислительной системой либо ее отдельными компонентами процессу или пользова-телю, называются
Время, аппаратные, программные и другие средства, которые могут быть предоставлены вычислительной системой либо ее отдельными компонентами процессу или пользователю, — это
Вспомогательные модули операционной системы составляют группы
Вспомогательные процедуры оформляются, как правило, в виде процедур, оформленных в виде
Входящие в состав операционной системы средства для обеспечения возможности оперативного взаимодействия процессов
Входящие в состав ОС средства для обеспечения возможности оперативного взаимо-действия процессов называются средствами
Вынесенные в пользовательский режим работы модули ОС называются
Вычислительную систему, работающую под управлением ОС, построенной по клас-сической архитектуре, можно представить как систему, состоящую из связанных слоев
Главными заданиями защиты информации в компьютерных системах являются
Для добавления в ОС новой высокоуровневой функции достаточно
Для совместимости на уровне исходных текстов требуется наличие
Для управления доступом пользователей к ресурсам используются методы
Для управления технологическими процессами и техническими объектами применяются операционные системы времени
Для успешного решения своих задач современный прикладной программист может обой-тись без
Если операционная система поддерживает графический пользовательский интерфейс, то пользователь для выполнения нужного ему действия
Если планировщик принимает решения о перепланировании не во время работы системы, а заранее, то он называется
Если сервер операционной системы терпит крах, то
За счет разделения ОС на ядро и вспомогательные модули обеспечивается легкая
Задача поддержания очередей заявок на ресурсы, одновременно используемые разными процессами, ложится на
Избирательная способность предохранять выполняемую задачу от операций записи или чтения памяти, назначенных другой задаче, — это защита
Информационная структура, содержащая сведения об идентификаторе потока, данные о правах доступа, приоритете и состоянии потока, называется
Использование разделения модулей ОС на резидентные и транзитные позволяет рацио-нально использовать такой ресурс, как
К функциим микроядра Windows NT относятся
Класс функций ОС, решающих внутрисистемные задачи организации вычислительного процесса, входит в состав
Когда выполняются все необходимые для возникновения прерывания условия, его ис-точник
Командный файл операционной системы содержит последовательность
Компонентами исполнительной части Windows NT являются
Крах ядра ОС приводит к краху
Логические, программные и информационные ресурсы вычислительной системы яв-ляются
Механизм аутентификации пользователя в операционной системе Windows NT реали-зуется
Механизм аутентификации пользователя в операционной системе Windows NT реализуется
Механизм аутентификации пользователя в ОС Windows NT реализуется
Механизм идентификации пользователя в операционнной системе Windows NT реали-зуется
Механизм идентификации пользователя в ОС Windows NT реализуется
Механизм привилегий должен включать концепцию
Модули ОС, загружаемые в оперативную память только на время своего выполнения, называются
Модули программы, постоянно находящиеся в памяти, являются
Модули, выполняющие основные функции операционной системы, — это
Модуль операционной системы, загружаемый в оперативную память только на время выполнения своих функций, — это
Модуль операционной системы, постоянно находящийся в памяти, — это
Мощность системы команд, имеющейся в распоряжении пользователя для интерактивной работы с операционной системой, отражает возможности данной ОС
Мультипроцессирование и мультипрограммирование — это
Мультипроцессорная система с симметричной архитектурой является
Мультипроцессорные системы принято делить на два основных типа
На современном этапе развития операционных систем стратегическим направлением их эволюции является
Не вошедшие в состав микроядра высокоуровневые функции и модули ядра оформляются в виде
Неоправданное увеличение числа слоев ядра приводит к замедлению работы ОС из-за уве-личения времени
Обращение приложений к ядру с запросами для выполнения тех или иных действий называется
Ограничительный механизм ядра безопасности операционной системы состоит из огра-ничений
Ограничительный механизм ядра безопасности ОС состоит из ограничений
Одна и та же операционная система может устанавливаться на компьютерах, отличаю-щихся аппаратной платформой
Однородность всех процессоров и единообразие их включения в общую схему системы присуще архитектуре
Операционная система создает для каждого процесса в многопоточной системе
Операционная система, в которой каждой задаче выделяется квант процессорного вре-мени, — это система
Операционная система, в которой одновременно может выполняться несколько програм-мных процессов, называется
Операционная система, код которой может быть сравнительно легко перенесен с аппаратной платформы одного типа на аппаратную платформу другого типа, — это операционная система
Операционная система, критерием эффективности работы которой является решение максимального количества задач в единицу времени, называется системой
Операционная система, обеспечивающая как можно более высокую степень прозрачности сетевых ресурсов, называется системой
Операционная система, предоставляющая возможность одновременного доступа к вычи-слительной системе нескольких пользователей, называется
Операционные системы, основанные на концепции микроядра, уступают классической ОС по
Определение, какому процессу, когда и в каком количестве следует выделить данный ресурс, называется
Основным средством, скрепляющим все подсистемы Windows NT, является
Первой многозадачной операционной системой для персональных компьютеров, в полной мере использующей возможности защищенного режима, стала
Первоначально операционная система UNIX предназначалась для поддержания
Перенос Windows NT на разнообразные процессоры достаточно легок, благодаря
Повышение удобства интерактивной работы с компьютером обеспечивают включения в современные операционные системы
Поддержание оперативной информации о занятости ресурса и распределенной доле ре-сурса, называется
Подсистема, являющаяся интерфейсом ко всем устройствам, подключенным к компью-теру, называется подсистемой
Подсистемы Windows NT связываются между собой
Политика безопасности системы под объектами подразумевает
Поскольку ядро — основной элемент вычислительных процессов в системе, то
Последовательность операций при выполнении программы или ее части вместе с исполь-зуемыми данными определяется как
При асимметричном мультипроцессировании, как способе организации вычислительного процесса, функции распределения задач и ресурсов выполняет
При входе в операционной системе Windows NT пользователь передает в LogonUser
При входе в ОС Windows NT пользователь передает в LogonUser
При делении ядра на основные слои, непосредственно над слоем машинно-зависимых модулей расположен слой
При масштабировании по горизонтали каждое из устройств, содержащих один или нес-колько процессоров, называется
При микроядерной организации операционной системы выполнение системного вызова сопровождается переключениями режимов
При работе за алфавитно-цифровым терминалом пользователь управляет системой по-средством
При симметричном мультипроцессировании модули операционной системы выполняются на процессоре
При симметричном мультипроцессировании, как способе организации вычислительного процесса, управлением вычислительным процессом
Программа, решающая отдельные задачи управления и сопровождения вычислительной системы, — это
Программа, управляющая конкретной моделью внешнего устройства и учитывающая все его особенности, называется
Программирование первых ламповых электронных вычислительных машин осущест-влялось на языке
Программные модули, отражающие специфику аппаратной платформы ЭВМ, — это
Программные средства, осуществляющие контроль за действиями пользователей, назы-ваются средствами
Программный модуль операционной системы, ответственный за чтение отдельных команд или последовательности команд из командного файла, — это
Программный модуль ОС, ответственный за чтение отдельных команд или их последо-вательности из командного файла, называется
Программы, решающие отдельные задачи управления и сопровождения вычислительной системы, называются
Процесс будет выполняться только в том случае, если его коды
Процесс, инициируемый операционной системой для выполнения своих функций, — это
Процесс, порождаемый по инициативе пользователя, — это
Процессор, основная память, внешняя память являются ресурсами вычислительной сис-темы
Процессы, инициализируемые ОС для выполнения своих функций, называются
Работа микроядерной операционной системы соответствует известной модели
Распространенная однопрограммная однопользовательская операционная система компа-нии Microsoft с интерфейсом командной строки называлась
Редиректором называют службу
Режим работы аппаратуры компьютера, при котором запрещено выполнение некоторых критичных команд, — это режим работы
Режим работы аппаратуры, при котором разрешено выполнение любых команд, — это режим работы
Результатом работы статического планировщика является таблица, называемая
Свойство операционной системы, при котором она обеспечивает возможность выпол-нения приложений, написанных для другой операционной системы, — это
Сетевые операционные системы, в отличие от многопользовательских, позволяют
Сетевые службы в первых сетевых операционных системах
Сеть, в которой все компьютеры равны в возможностях доступа к ресурсам друг друга, — это сеть
Системный таймер необходим операционной системе для
Скорость выполнения функций ядра определяет производительность всей системы в целом, поскольку
Сложный функциональный модуль операционной системы, ведущий учет и планирование распределения ресурсов определенного типа, — это
Слоями операционной системы, построенной по классической архитектуре, являются
Создание архивных копий носителей информации является средством защиты информации
Специальное программное обеспечение, позволяющие компьютеру интерпретировать машинные инструкции, написанные для компьютера с архитектурой процессора, отличной от используемой, — это
Способ организации вычислительного процесса в системах с несколькими центральными процессами называется
Средства поддержки привилегированного режима обычно основаны на
Стандартная последовательность действий после возникновения сбоя в ОС UNIX вклю-чает
Строка экрана дисплея, предназначенная для записи вводимых пользователем команд операционной системы, — это
Структурная организация ОС на основе различных программных модулей называется
Управление ресурсами включает
Файл, содержащий последовательность команд управления операционной системы, — это
Функции ядра, которые могут вызываться приложениями, образуют интерфейс
Функциями по управлению памятью являются функции операционной системы
Часть Windows NT, работающую в пользовательском режиме, составляют
Чтобы сторонние разработчики могли поставлять свои драйверы к устройствам, опера-ционная система должна поддерживать четко определенный интерфейс между драйве-рами и
Элементарное предложение машинного языка, содержащее предписание ЭВМ выполнить некоторую машинную операцию или действие, — это

Для скачивания этого файла Вы должны ввести код указаный на картинке справа в поле под этой картинкой —>
ВНИМАНИЕ:
Нажимая на кнопку «Скачать бесплатно» Вы подтверждаете свое полное и безоговорочное согласие с «Правилами сервиса»

From Wikipedia, the free encyclopedia

(Redirected from Winlogon.exe)

This article needs to be updated. Please help update this article to reflect recent events or newly available information. (January 2014)

In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.

Overview[edit]

Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.

Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.

Winlogon has the following responsibilities:

  • Window station and desktop protection
Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.
  • Standard SAS recognition
Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.
  • SAS routine dispatching
When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.
  • User profile loading
When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.
  • Assignment of security to user shell
When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.
  • Screen saver control
Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.
  • Multiple network provider support
Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.

See also[edit]

  • List of Microsoft Windows components
  • Architecture of the Windows NT operating system line
  • Vundo, a trojan that attaches itself to winlogon.exe
  • getty, a similar process in UNIX
  • In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.[1]

References[edit]

  1. ^ Warren, Tom (2020-09-25). «Windows XP source code leaks online». The Verge. Retrieved 2020-09-27.

External links[edit]

  • Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
  • Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
  • MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
  • Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008

From Wikipedia, the free encyclopedia

(Redirected from Winlogon.exe)

This article needs to be updated. Please help update this article to reflect recent events or newly available information. (January 2014)

In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.

Overview[edit]

Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.

Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.

Winlogon has the following responsibilities:

  • Window station and desktop protection
Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.
  • Standard SAS recognition
Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.
  • SAS routine dispatching
When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.
  • User profile loading
When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.
  • Assignment of security to user shell
When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.
  • Screen saver control
Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.
  • Multiple network provider support
Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.

See also[edit]

  • List of Microsoft Windows components
  • Architecture of the Windows NT operating system line
  • Vundo, a trojan that attaches itself to winlogon.exe
  • getty, a similar process in UNIX
  • In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.[1]

References[edit]

  1. ^ Warren, Tom (2020-09-25). «Windows XP source code leaks online». The Verge. Retrieved 2020-09-27.

External links[edit]

  • Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
  • Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
  • MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
  • Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008

Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей. Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера. И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.

Рабочий стол в Windows 10

Что это

Итак, процесс «Winlogon.exe» или «Windows Logon Application» — это системный компонент, имеющий обширный функциональный набор для работы с учётной записью пользователей. Структура данного компонента и все его полномочия имеют достаточно сложную структуру, разбираться в дебрях которой просто не имеет смысла. Для понимания его важности можно максимально упростить список его дел и выделить из них следующие пункты:

  • Отвечает за сохранность рабочего стола. Грубо говоря, каждый раз, когда пользователь видит сообщение о необходимости ввести пароль для входа в свою учётную запись, это как раз и свидетельствует об успешности работы «Winlogon».
  • Контроль за целостностью и сохранностью пользовательских данных, «сотрудничая» со стандартом «SAS».
  • Контроль за активностью сетевых подключений.
  • Подтверждение правомерности использования версии операционной системы.
  • Обеспечение должного функционирования скринсерверов (при активных режимах работы).

Что такое Winlogon.exe

Учитывая важность подобного функционала следует отметить, а также принимая во внимание, что исполняемый файл рассматриваемого процесса находится в системном каталоге — C:WindowsSystem32, его несанкционированная деактивация может привести к кратковременным или длительным сбоям в работе операционной системы. Поэтому, если вы стали свидетелями, что в «Диспетчере задач» у «Winlogon.exe» или у «Программа входа в систему Windows» (именно таким может быть его название) показатели создаваемой нагрузки выделены красным, ни в коем случае нельзя собственноручно завершать его работу, пока не будут выяснены причины сей ситуации.

Почему создаётся нагрузка

Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:

Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.

Заключение

Сканирование системы программой Dr.Web

После выявления нарушителя его требуется обезвредить специализированным антивирусным программным обеспечением. Желательно использовать сторонние утилиты, отличающиеся от представленного у вас на компьютере антивируса, так как данный защитник не справился со своей работой и проглядел «злодея». В качестве совета можно отметить такие утилиты как «Dr.Web CureIt!», «AdwCleaner» и «Malwarebytes». Последнее, в чём будет необходимо убедиться, – это то, насколько качественно работает установленный антивирус, возможно, ему требуется обновление или больше полномочий для функционирования.

Содержание

  • Сведения о процессе
    • Основные задачи
    • Размещение файла
    • Подмена вредоносной программой
  • Вопросы и ответы

Процесс WINLOGON.EXE в Windows

WINLOGON.EXE – это процесс, без которого невозможен запуск ОС Windows и её дальнейшее функционирование. Но иногда под его личиной кроется вирусная угроза. Давайте разберемся, в чем состоят задачи WINLOGON.EXE и какая опасность может исходить от него.

Сведения о процессе

Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».

Процесс WINLOGON.EXE в Диспетчере задач Windows

Какие же функции он выполняет и зачем нужен?

Основные задачи

Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.

Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).

Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.

Завершение работы системы через меню Пуск в Windows

При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.

Размещение файла

Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.

  1. Для того, чтобы определить место расположения файла с помощью Диспетчера задач, прежде всего нужно переключиться в нем в режим отображения процессов всех юзеров, произведя нажим на соответствующую кнопку.
  2. Включение режима отображения процессов всех пользователей в Диспетчере задач Windows

  3. После этого кликаем правой кнопкой мышки по наименованию элемента. В раскрывшемся перечне выбираем «Свойства».
  4. Переход в свойства процесса WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  5. В окне свойств перейдите во вкладку «Общие». Напротив надписи «Расположение» находится адрес размещения искомого файла. Практически всегда этот адрес следующий:

    C:WindowsSystem32

    Место расположения файла WINLOGON.EXE в окне свойств процесса

    Lumpics.ru

    В очень редких случаях процесс может ссылаться на следующую директорию:

    C:Windowsdllcache

    Кроме этих двух директорий больше нигде размещение искомого файла невозможно.

Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.

  1. В режиме отображения процессов всех пользователей щелкните по элементу правой кнопкой мыши. В контекстном меню выберите «Открыть место хранения файла».
  2. Переход в в место расположения файла WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  3. После этого откроется Проводник в той директории винчестера, где расположен искомый объект.

Место хранения файла WINLOGON.EXE в окне Проводника Windows

Подмена вредоносной программой

Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.

  1. Прежде всего, нужно знать, что в Диспетчере задач может быть только один процесс WINLOGON.EXE. Если вы наблюдаете больше, то один из них вирус. Обратите внимание, чтобы напротив изучаемого элемента в поле «Пользователь» стояло значение «Система» («SYSTEM»). Если процесс запускается от имени любого другого пользователя, например от имени текущего профиля, то можно констатировать факт, что мы имеем дело с вирусной активностью.
  2. Имя пользователя процесса WINLOGON.EXE в Диспетчере задач Windows

  3. Также проверьте место расположения файла любым из тех способов, которые были указаны выше. Если оно отличается от тех двух вариантов адресов для данного элемента, которые допускаются, то, опять же, перед нами вирус. Довольно часто вирус находится в корне каталога «Windows».
  4. Вирус WINLOGON.EXE размещен в папке Windows

  5. Вашу настороженность должен вызвать факт высокого уровня использования ресурсов системы данным процессом. В нормальных условиях он практически неактивен и активизируется только в момент входа/выхода из системы. Поэтому потребляет крайне мало ресурсов. Если WINLOGON начинает грузить процессор и потреблять большое количество оперативки, то мы имеем дело либо с вирусом либо с каким-то сбоем в системе.
  6. Потребление ресурсов процессом WINLOGON.EXE в Диспетчере задач Windows

  7. Если хотя бы один из перечисленных подозрительных признаков имеется в наличии, то скачайте и запустите на ПК лечащую утилиту Dr.Web CureIt. Она просканирует систему и в случае обнаружения вирусов произведет лечение.
  8. Сканирование системы антивирусной утилитой Dr.Web CureIt

  9. Если утилита не помогла, но вы видите, что объектов WINLOGON.EXE в Диспетчере задач два или больше, то остановите тот объект, который не отвечает стандартам. Для этого щелкните по нему правой кнопкой мыши и выберите «Завершить процесс».
  10. Переход к завершению процесса WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  11. Откроется маленькое окошко, где вы должны будете подтвердить свои намерения.
  12. Потверждение завершения процесса WINLOGON.EXE в Диспетчере задач Windows

  13. После того, как процесс завершен, переместитесь в папку расположения того файла, на который он ссылался, щелкните по этому файлу правой кнопкой мышки и выберите в меню «Удалить». Если система того потребует, подтвердите свои намерения.
  14. Удаление вирусного файла WINLOGON.EXE с помощью контекстного меню в Проводнике Windows

  15. После этого почистите реестр и повторно проверьте компьютер утилитой, так как довольно часто файлы такого типа подгружаются посредством команды из реестра, прописанной вирусом.

    Если не удается остановить процесс или снести файл, то зайдите в систему в Безопасном режиме и выполните процедуру удаления.

Как видим, WINLOGON.EXE играет важную роль в функционировании системы. Он непосредственно отвечает за вход и за выход из неё. Хотя, почти что все время, пока пользователь работает на ПК, указанный процесс находится в пассивном состоянии, но при его принудительном завершении продолжение работы в Виндовс становится невозможным. Кроме того, существуют вирусы, которые имеют аналогичное имя, маскируясь под данный объект. Их важно в максимально короткие сроки вычислить и уничтожить.

Еще статьи по данной теме:

Помогла ли Вам статья?

Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей. Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера. И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.

Рабочий стол в Windows 10

Что это

Итак, процесс «Winlogon.exe» или «Windows Logon Application» — это системный компонент, имеющий обширный функциональный набор для работы с учётной записью пользователей. Структура данного компонента и все его полномочия имеют достаточно сложную структуру, разбираться в дебрях которой просто не имеет смысла. Для понимания его важности можно максимально упростить список его дел и выделить из них следующие пункты:

  • Отвечает за сохранность рабочего стола. Грубо говоря, каждый раз, когда пользователь видит сообщение о необходимости ввести пароль для входа в свою учётную запись, это как раз и свидетельствует об успешности работы «Winlogon».
  • Контроль за целостностью и сохранностью пользовательских данных, «сотрудничая» со стандартом «SAS».
  • Контроль за активностью сетевых подключений.
  • Подтверждение правомерности использования версии операционной системы.
  • Обеспечение должного функционирования скринсерверов (при активных режимах работы).

Что такое Winlogon.exe

Учитывая важность подобного функционала следует отметить, а также принимая во внимание, что исполняемый файл рассматриваемого процесса находится в системном каталоге — C:WindowsSystem32, его несанкционированная деактивация может привести к кратковременным или длительным сбоям в работе операционной системы. Поэтому, если вы стали свидетелями, что в «Диспетчере задач» у «Winlogon.exe» или у «Программа входа в систему Windows» (именно таким может быть его название) показатели создаваемой нагрузки выделены красным, ни в коем случае нельзя собственноручно завершать его работу, пока не будут выяснены причины сей ситуации.

Почему создаётся нагрузка

Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:

Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.

Заключение

Сканирование системы программой Dr.Web

После выявления нарушителя его требуется обезвредить специализированным антивирусным программным обеспечением. Желательно использовать сторонние утилиты, отличающиеся от представленного у вас на компьютере антивируса, так как данный защитник не справился со своей работой и проглядел «злодея». В качестве совета можно отметить такие утилиты как «Dr.Web CureIt!», «AdwCleaner» и «Malwarebytes». Последнее, в чём будет необходимо убедиться, – это то, насколько качественно работает установленный антивирус, возможно, ему требуется обновление или больше полномочий для функционирования.

Download PC Repair Tool to quickly find & fix Windows errors automatically

What is this winlogon.exe? Where is it located? Is it a virus? Why does it consume high CPU on Windows 10 at times and what you do about this? Now if you open the Windows Task Manager, you may see a process winlogon.exe. This is the Windows Logon Application, and it is a Windows operating system file located in the System32 folder.

Windows Logon Application or winlogon.exe

The Windows Logon Application or winlogon.exe is a crucial process for a Windows system. It runs in the background and rarely interferes with normal functioning of the system. It performs critical tasks while signing on to the system. The process helps in recognizing the exact sign-in account (for different users) and loads that user’s profile into the registry. It also manages the “secure attention sequence.” The secure attention sequence is a mechanism which mandates users to press CTRL+ALT+DEL before logging in to systems. This helps in identifying that no cyber-hacker or program is impersonating the sign-in page, thus assuring you of a safe login.

Where is winlogon.exe located

Windows Logon Application or winlogon.exe is located in the C:WindowsSystem32 folder, where C: is your system drive.

Is winlogon.exe a virus

Many cyber-criminals mimic genuine system applications while creating virus or malware, so they go undetected. Thus, it is possible that some virus or malware could hold the same name as Windows Logon Application or winlogon.exe. This could be checked as follows: right-click on the task and select Open location. The original location of the Windows Logon Application task is C:WindowsSystem32 (where C: is your system drive). In case it is located elsewhere it could well be malware.

In this case right-click on the suspect file and select Properties > Details tab. Does it say Microsoft or something else?

The best suggestion would be to run a full system anti-malware scan.

Winlogon.exe consuming high CPU

At times the process may consume high CPU or other resources. If you face this issue often, run System File Checker in Safe Mode.

Can I disable the Windows Logon Application

While I see no reason for anyone to disable the Windows Logon Application, terminating the process would crash your system. The process is critical to the system and needs to be running all the time.

End program

If you try to end the winlogon.exe process, the system will present a warning stating “Windows will cause Windows to become unusable or shut down.” If you continue despite the warning, the system will black out, and the only way to revive it would be to power it OFF and restart it.

If the system is unable to load the winlogon.exe file upon the next startup, you will get the blue screen error 0xC000021A. If you have already made the mistake, you could follow this guide to fix STOP 0XC000021A, STATUS SYSTEM PROCESS TERMINATED error.

Trust this helps!

Ezoic

Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.

Download PC Repair Tool to quickly find & fix Windows errors automatically

What is this winlogon.exe? Where is it located? Is it a virus? Why does it consume high CPU on Windows 10 at times and what you do about this? Now if you open the Windows Task Manager, you may see a process winlogon.exe. This is the Windows Logon Application, and it is a Windows operating system file located in the System32 folder.

Windows Logon Application or winlogon.exe

The Windows Logon Application or winlogon.exe is a crucial process for a Windows system. It runs in the background and rarely interferes with normal functioning of the system. It performs critical tasks while signing on to the system. The process helps in recognizing the exact sign-in account (for different users) and loads that user’s profile into the registry. It also manages the “secure attention sequence.” The secure attention sequence is a mechanism which mandates users to press CTRL+ALT+DEL before logging in to systems. This helps in identifying that no cyber-hacker or program is impersonating the sign-in page, thus assuring you of a safe login.

Where is winlogon.exe located

Windows Logon Application or winlogon.exe is located in the C:WindowsSystem32 folder, where C: is your system drive.

Is winlogon.exe a virus

Many cyber-criminals mimic genuine system applications while creating virus or malware, so they go undetected. Thus, it is possible that some virus or malware could hold the same name as Windows Logon Application or winlogon.exe. This could be checked as follows: right-click on the task and select Open location. The original location of the Windows Logon Application task is C:WindowsSystem32 (where C: is your system drive). In case it is located elsewhere it could well be malware.

In this case right-click on the suspect file and select Properties > Details tab. Does it say Microsoft or something else?

The best suggestion would be to run a full system anti-malware scan.

Winlogon.exe consuming high CPU

At times the process may consume high CPU or other resources. If you face this issue often, run System File Checker in Safe Mode.

Can I disable the Windows Logon Application

While I see no reason for anyone to disable the Windows Logon Application, terminating the process would crash your system. The process is critical to the system and needs to be running all the time.

End program

If you try to end the winlogon.exe process, the system will present a warning stating “Windows will cause Windows to become unusable or shut down.” If you continue despite the warning, the system will black out, and the only way to revive it would be to power it OFF and restart it.

If the system is unable to load the winlogon.exe file upon the next startup, you will get the blue screen error 0xC000021A. If you have already made the mistake, you could follow this guide to fix STOP 0XC000021A, STATUS SYSTEM PROCESS TERMINATED error.

Trust this helps!

Ezoic

Anand Khanse is the Admin of TheWindowsClub.com, a 10-year Microsoft MVP (2006-16) & a Windows Insider MVP (2016-2022). Please read the entire post & the comments first, create a System Restore Point before making any changes to your system & be careful about any 3rd-party offers while installing freeware.

Запуск операционной системы Windows начинается после прохождения компьютером POST-теста. Подсистема управления сеансами и клиент/сервер времени выполнения обращаются к программе входа в систему — winlogon.exe. Что это за процесс в Windows 7, рассказано в этой статье.

Функции программы

«Win» обозначает принадлежность процесса к ОС, «logon» (log on) указывает, что программа связана с процедурой входа пользователя систему — аутентификацией.

После успешной проверки входа, winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. Далее активируется оболочка и запускается Explorer, который является основой интерфейса Windows.

Запускается процессом smss.exe при загрузке ОС, а затем сам включает lsass.exe и services.exe.

Основные функции программы:

  • работоспособность и защита рабочего стола;
  • работа компьютерной сети;
  • контроль хранителя экрана (скринсейвера);
  • загрузка пользовательских профилей;
  • обеспечение безопасности пользовательских данных, работа со стандартом SAS;
  • проведение верификации копий ОС Windows.
  • поддержка входа и выхода пользователя из системы и другие.

По умолчанию, файл располагается в папке System32 или SysWoW64 в зависимости от разрядности системы.

Особенности

Процесс winlogon.exe невозможно завершить на пользовательском уровне, так как он является системным. От его присутствия зависит работоспособность большинство модулей ОС.

win

Управление такими процессами осуществляется на уровне ядра со знаниями системного программирования. Однако, если вам все же удастся завершить winlogon.exe, то работа Windows будет нестабильной вплоть до полной остановки, ввиду чего придется перезапустить компьютер.

Также особенностью этого процесса является управление системными сочетаниями клавиш. В отличие от GNU/Linux, в Windows невозможно штатными средствами переназначать клавиши по типу «Alt + Tab» (смена активного окна) или «Ctrl + Alt + Delete»  (блокировка экрана).

Иногда возникает проблема в процессе установки какого-либо ПО. Такое возможно, если запущено приложение, связанное с winlogon.exe (например, FineReader OCR). В этом случае необходимо закрыть все лишние программы перед установкой, чтобы избежать конфликтов ОС.

Заражение вирусом

Изолированием winlogon.exe от действий пользователя эффективно пользуются разработчики вирусов. Наличие знаний в области прикладного и системного программирования позволяет им обходить это ограничение и создавать вирус с точно таким же названием, но другим расположением на диске. Свидетельствовать о заражении может сообщение, что winlogon.exe инициировал перезапуск.

  1. Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc».
  2. Перейдите на вкладку «Процессы».
  3. Убедитесь, что в списке присутствует только один winlogon.exe. В противном случае, проверьте компьютер на наличие вирусов.

winlogon

Выводы

Winlogon.exe является системной программой, отвечающей за начальную загрузку системы и аутентификацию пользователя. В списке запущенных процессов она должна быть в единственном экземпляре. В противном случае, необходимо проверить компьютер на вирусы.

winlogon.exe в Windows 10 всегда появляется в фоновом режиме при открытии диспетчера задач. Многие пользователи неправильно интерпретируют этот файл, как вирус. Это связано с тем, что он использует расширение .exe, которое одинаково для различных вредоносных программ. Теперь наверное Вас мучает вопрос — это вируса? Если нет, то что это за процесс? Как следует из названия, Winlogon означает «приложение для входа в Windows». Это важная часть ОС Windows, которая контролирует различные действия на вашем компьютере. Он регулярно работает в вашей системе, пока вы не выключите компьютер. 

  1. Когда вы входите в свой компьютер, winlogon.exe дает вам команду для ввода пароля. Если ваш пароль верен, он успешно регистрирует вас, иначе он выдает сообщение об ошибке. Это позволит программам использовать ключи в разделе HKEY_CURRENT_USER «Редактора реестра». Однако этот путь отличается для каждого пользователя Windows.
  2. Это также облегчает управление действиями мыши и клавиатуры при работе на вашем компьютере. В основном, когда экран вашего рабочего стола включен, он работает в фоне. Это происходит даже тогда, когда экран долгое время простаивает и возвращает экран входа в систему «ждущий режим». Процесс Winlogon.exe в ОС windows также отвечает за защиту рабочего стола для выполнения полного использования компьютерных объектов, подключенных к устройству.
  3. Когда ваше устройство подключено к локальной сети или к различным типам сети, winlogon.exe сначала контролирует каждую проверку подлинности на рабочей станции. Затем он передает данные без каких-либо коллапсов. Он постоянно загружает пароль, и если к нему добавляется новый сервер, он также аутентифицирует этот пароль.

Местонахождения winlogon.exe в Windows

Будучи неотъемлемой частью Windows, этот файл всегда остается на диске «C» вашего компьютера. Вы можете проверить его, используя путь C:WindowsSystem32. Вы также можете открыть его местоположение, используя диспетчер задач. Запустите диспетчер задач Ctrl + Shift + Esc, найдите исходное название «Программа входа в систему Windows» во вкладке процессы. Далее нажмите на нем правой кнопкой мыши и выберите «открыть расположения файла«.

Место положение файла winlogon exe

Должен ли я отключить winlogon.exe?

Из всего выше сказанного вы уже знаете, что это встроенная программа ОС Windows и нет никакой логики для ее отключения. Она занимает небольшую часть вашей памяти и выполняет различные задачи. Отключение будет отрицательно сказываться на вашей системе. Если вы попытаетесь временно завершить процесс из «Диспетчера задач», отобразится предупреждающее сообщение. Оно уведомит вас, что «завершение этого процесса приведет к тому, что Windows станет непригодной или отключится». Если вы избегаете этой заметки, то экран сразу станет черным. Более того, ПК даже не реагирует на Ctrl + Alt + Delete. Winlogon.exe в Windows 10 полностью отвечает за управление Ctrl + Alt + Delete. Итак, как только вы остановите процесс, нет возможности восстановить сеанс.

Нельзя отключить winlogon в Windows

Как определить является ли winlogon.exe вирусом?

winlogon.exe в Windows — это системный файл microsoft, а не вирус. Откройте диспетчер задач, найдите процесс «Программа входа в систему Windows» и нажмите на нем правой кнопкой мыши, и выберите «Свойства«. Во вкладке «Подробнее«, вы можете узнать всю информацию о этом файле. Если информации нет или она отличается от нижней, то это вирус. Вы так же должны открыть местоположение файла, как описано выше, и если местоположение будет другим, не C:WindowsSystem32, то это скорее всего вирус (удалите его). Признаки на вредоносное имя файла winlogon.exe, могут давать высокие нагрузки на ЦП и Память. 

  1. Описание файла — Программа входа в систему Windows.
  2. Название продукта приложения — Операционная система Microsoft Windows.
  3. Авторское право — Microsoft Corporation. Все права защищены.
  4. Размер — 661 KB.
  5. Язык — Русский (Россия).
  6. Исходное имя файла — WINLOGON.EXE.

Подробная информация о файле winlogon exe


Смотрите еще:

  • LSASS.exe: что это и как работает в Windows 10
  • Папка System32 в Windows: что это такое и почему нельзя её удалять
  • Исправьте ошибку KERNEL DATA INPAGE в Windows 10
  • dwm.exe: Что это такое и как работает в Windows 10
  • Что за процесс dllhost.exe COM Surrogate в Windows 10 

[ Telegram | Поддержать ]

WiFiGid приветствует вас! Эту статью посвятим разбору WINLOGON.exe. Узнаем что это за процесс, нужно ли его удалять, где он находится, может ли за ним прятаться страшный и опасный вирус. Такой себе классический джентельменский чемоданчик для любого непонятного процесса на Windows. Предлагаю сразу же перейти к рассмотрению!

Если у вас появились какие-то вопросы или есть что-то интересное, чем вы бы хотели поделиться в нашем сообществе – оставьте комментарий под этой статье. Мы будем очень рады!

Содержание

  1. Что это за процесс?
  2. Связи с другими процессами
  3. Где находится на диске?
  4. Как определить вирус?
  5. Видео по теме
  6. Задать вопрос автору статьи

Что это за процесс?

WINLOGON.EXE: что это за процесс и нужно ли его выключать?

WINLOGON.exe – стандартный процесс (программа) всех версий Windows, который отвечает за вход и выход пользователя в систему (как за сам процесс, так и за отображение этих красивых окошек с пользователями). Т.е. даже если вы не видите экран входа при загрузке, считаем что на любом включении вы все равно сидите в системе под каким-то своим пользователем. Вот за это и отвечает winlogon.exe.

Т.е. в стандартных ситуациях – это обычный правильный процесс, который не нужно трогать, а то может вылететь синий экран.

Вот так в списке процессов выглядит обычный правильный winlogon. На самом деле объем памяти от разных версий Windows может расходиться, но обычно он много не занимает:

WINLOGON.EXE: что это за процесс и нужно ли его выключать?

Связи с другими процессами

Попробуем распутать цепочку связей нашего процесса, кому-то будет полезным:

  • SMSS.EXE (диспетчер сеанса) запускает WINLOGON.EXE.
  • WINLOGON.EXE запускает LSASS.EXE (сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (диспетчер управления службами).

Где находится на диске?

Как мы выяснили выше, файл WINLOGON.exe загружается самостоятельно при старте с помощью SMSS.EXE. Физический путь WINLOGON в системе:

C:WindowsSystem32

Очень редко (но бывает):

C:Windowsdllcache

Как определить вирус?

Периодически под процесс WINLOGON маскируются разные вирусы. Причем процесс настолько популярный среди разработчиков зловредов, что какое-то отдельное поведение заразы вычислить сложно:

  • Процесс может ненормально грузить процессор, диск, видеокарту – это видно сразу в диспетчере устройств (Ctrl + Shift + Esc).
  • Обращаем внимание, что процесс должен быть запущен от имени «СИСТЕМА» («SYSTEM»), а не какого-то другого пользователя (например, вашего).

WINLOGON.EXE: что это за процесс и нужно ли его выключать?

  • Проверяем расположение файла процесса (щелкаем по нему правой кнопкой мыши и выбираем пункт «Открыть расположение файла»). Правильные пути расположения писал в разделе выше.

WINLOGON.EXE: что это за процесс и нужно ли его выключать?

  • Проверяем правильное название. В своей практике встречал winlogSon и близки варианты написания.

Если что-то не сходится – прогоняем компьютер любым нормальным антивирусом. Скорее всего простое удаление файла и завершение процесса сильно не поможет (хотя можно и попробовать, главное не наломайте дров), т.к. нормальный вирус такое восстанавливает, так что в каждой конкретной ситуации уже нужно разбираться отдельно.

Видео по теме

Содержание

  1. Что это winlogon.exe в диспетчере задач
  2. Когда winlogon.exe становится угрозой
  3. Заключение

Открыв «Диспетчер задач» на своём компьютере каждый из пользователей может увидеть во вкладке процессов активный процесс winlogon.exe. В этой статье я расскажу о том, что это за процесс winlogon.exe и функциях данного процесса, а также поясню, как отличить Винлогон от вируса, который часто маскируется под рассматриваемый мною процесс.

Процесс Winlogon.exe

Процесс Winlogon.exe

Опытные пользователи, прочитав название данного процесса, уже могут сделать вывод, что раз его название включает слово «win», то данный процесс относится к процессам ОС Windows, а раз в названии содержится лексема «logon» (log on), то процесс winlogon.exe обслуживает процедуру входа пользователя в систему.

При этом видно, что этот процесс winlogon может иметь лишь два статуса – системный и заслуживающий доверия процесс ОС Windows, или вирус, червь или шпионская программа с таким же именем. Поэтому очень важно идентифицировать процесс, и вопрос “что это winlogon.exe” очень актуален.

Winlogon.exe что это такое

Winlogon.exe что это такое

Процесс winlogon.exe начинает свою работу со стартом операционной системе, и присутствует во всех версиях ОС Виндовс – от XP до Windows 10. Он был создан Microsoft для улучшения работы операционной системы, и наделён обширным функционалом.

  1. Винлогон ответственен за функционирование и защиту рабочего стола.
  2. За работу компьютерной сети.
  3. За контроль скринсейвера.
  4. Загрузку пользовательских профилей.
  5. Он обеспечивает безопасность пользовательских данных, работает со стандартом SAS.
  6. Проводит верификацию копий ОС Виндовс.
  7. Поддерживает вход и выход пользователя из системы, а также ряд других функций.

Исполняемый файл процесса winlogon.exe обычно находится в общей директории ОС Виндовс, в папке System32. Прекращение работы данного файла (а также удаление его) может иметь самые фатальные последствия для вашей операционной системы.

Данный процесс запускается процессом smss.exe при загрузке ОС, а затем он сам запускает процессы lsass.exe и services.exe.

Если у вас, как и у меня процесс Svchost.exe периодически грузит процессор, изучите простые рекомендации по исправлению тут.

Когда winlogon.exe становится угрозой

Очень часто различные вирусные программы проникают на компьютер пользователя и работают в нём под именем winlogon.exe (отмечены вирусы Trojan.Goldun, [email protected], W32.IRCBot, [email protected] и ряд других).

  • Для проверки наличия вируса с названием winlogon.exe запустите диспетчер задач, и посчитайте количество процессов под данным именем.
  • Обычно запущен только один такой процесс, файл которого находится в директории WindowsSystem32 (иногда файл винлогон может также находится по адресу Windowsdllcache).
  • Если у вас активны два или более процессов, и эти процессы находятся в другой, нежели System32 (dllcache), директории, то вы имеете дело со злокачественными программами, проникшими на ваш компьютер.Исполняемый файл Winlogon.exe
    Исполняемый файл Winlogon.exe

Для определения количества и местоположения файлов winlogon.exe зайдите в диспетчер задач, перейдите во вкладку «Процессы», нажмите галочку напротив опции отображения процессов всех пользователей (внизу), найдите все процессы winlogon.exe, и, нажав на каждом из них правую клавишу мыши, выберите «открытие места хранения файла».

Если вам откроет любую директорию, кроме упомянутых мной чуть выше, – у вас на компьютере вирус. Для избавления от него используйте надёжные антивирусные программы уровня Trojan Remover, Dr.Web CureIt! и других, также можно задействовать такой полезный инструмент как Security Task Manager, который проанализирует все запущенные на компьютере процессы, позволяя удалять ненужные и вредоносные их вариации.

Очень часто на присутствие вируса в системе указывают ошибки с упоминанием winlogon, которые появляются при загрузке и работе операционной системы. Если вы столкнулись с такой ошибкой – также проверьте вашу систему на наличие различных зловредов.

Заключение

Что это winlogon.exe? Рассматриваемый мной процесс winlogon.exe – это несомненный атрибут функционала ОС Виндовс. Он имеет очень важное значение в работе операционной системы, а его повреждение или удаление может иметь самые печальные последствия для работы вашего компьютера. При этом различный злокачественный софт часто маскируется под винлогон, затрудняя его идентификацию и удаление пользователем. По-чаще проверяйте ваш компьютер мощными антивирусными программами – это убережёт вас от вирусов под маркой «winlogon.exe».

Как вам статья?

Сергей

Задать вопрос

Содержание

  1. Что это winlogon.exe в диспетчере задач
  2. Когда winlogon.exe становится угрозой
  3. Заключение

Открыв «Диспетчер задач» на своём компьютере каждый из пользователей может увидеть во вкладке процессов активный процесс winlogon.exe. В этой статье я расскажу о том, что это за процесс winlogon.exe и функциях данного процесса, а также поясню, как отличить Винлогон от вируса, который часто маскируется под рассматриваемый мною процесс.

Процесс Winlogon.exe

Процесс Winlogon.exe

Опытные пользователи, прочитав название данного процесса, уже могут сделать вывод, что раз его название включает слово «win», то данный процесс относится к процессам ОС Windows, а раз в названии содержится лексема «logon» (log on), то процесс winlogon.exe обслуживает процедуру входа пользователя в систему.

При этом видно, что этот процесс winlogon может иметь лишь два статуса – системный и заслуживающий доверия процесс ОС Windows, или вирус, червь или шпионская программа с таким же именем. Поэтому очень важно идентифицировать процесс, и вопрос “что это winlogon.exe” очень актуален.

Winlogon.exe что это такое

Winlogon.exe что это такое

Процесс winlogon.exe начинает свою работу со стартом операционной системе, и присутствует во всех версиях ОС Виндовс – от XP до Windows 10. Он был создан Microsoft для улучшения работы операционной системы, и наделён обширным функционалом.

  1. Винлогон ответственен за функционирование и защиту рабочего стола.
  2. За работу компьютерной сети.
  3. За контроль скринсейвера.
  4. Загрузку пользовательских профилей.
  5. Он обеспечивает безопасность пользовательских данных, работает со стандартом SAS.
  6. Проводит верификацию копий ОС Виндовс.
  7. Поддерживает вход и выход пользователя из системы, а также ряд других функций.

Исполняемый файл процесса winlogon.exe обычно находится в общей директории ОС Виндовс, в папке System32. Прекращение работы данного файла (а также удаление его) может иметь самые фатальные последствия для вашей операционной системы.

Данный процесс запускается процессом smss.exe при загрузке ОС, а затем он сам запускает процессы lsass.exe и services.exe.

Если у вас, как и у меня процесс Svchost.exe периодически грузит процессор, изучите простые рекомендации по исправлению тут.

Когда winlogon.exe становится угрозой

Очень часто различные вирусные программы проникают на компьютер пользователя и работают в нём под именем winlogon.exe (отмечены вирусы Trojan.Goldun, [email protected], W32.IRCBot, [email protected] и ряд других).

  • Для проверки наличия вируса с названием winlogon.exe запустите диспетчер задач, и посчитайте количество процессов под данным именем.
  • Обычно запущен только один такой процесс, файл которого находится в директории WindowsSystem32 (иногда файл винлогон может также находится по адресу Windowsdllcache).
  • Если у вас активны два или более процессов, и эти процессы находятся в другой, нежели System32 (dllcache), директории, то вы имеете дело со злокачественными программами, проникшими на ваш компьютер.Исполняемый файл Winlogon.exe
    Исполняемый файл Winlogon.exe

Для определения количества и местоположения файлов winlogon.exe зайдите в диспетчер задач, перейдите во вкладку «Процессы», нажмите галочку напротив опции отображения процессов всех пользователей (внизу), найдите все процессы winlogon.exe, и, нажав на каждом из них правую клавишу мыши, выберите «открытие места хранения файла».

Если вам откроет любую директорию, кроме упомянутых мной чуть выше, – у вас на компьютере вирус. Для избавления от него используйте надёжные антивирусные программы уровня Trojan Remover, Dr.Web CureIt! и других, также можно задействовать такой полезный инструмент как Security Task Manager, который проанализирует все запущенные на компьютере процессы, позволяя удалять ненужные и вредоносные их вариации.

Очень часто на присутствие вируса в системе указывают ошибки с упоминанием winlogon, которые появляются при загрузке и работе операционной системы. Если вы столкнулись с такой ошибкой – также проверьте вашу систему на наличие различных зловредов.

Заключение

Что это winlogon.exe? Рассматриваемый мной процесс winlogon.exe – это несомненный атрибут функционала ОС Виндовс. Он имеет очень важное значение в работе операционной системы, а его повреждение или удаление может иметь самые печальные последствия для работы вашего компьютера. При этом различный злокачественный софт часто маскируется под винлогон, затрудняя его идентификацию и удаление пользователем. По-чаще проверяйте ваш компьютер мощными антивирусными программами – это убережёт вас от вирусов под маркой «winlogon.exe».

Как вам статья?

Сергей

Задать вопрос

Запуск операционной системы Windows начинается после прохождения компьютером POST-теста. Подсистема управления сеансами и клиент/сервер времени выполнения обращаются к программе входа в систему — winlogon.exe. Что это за процесс в Windows 7, рассказано в этой статье.

Функции программы

«Win» обозначает принадлежность процесса к ОС, «logon» (log on) указывает, что программа связана с процедурой входа пользователя систему — аутентификацией.

После успешной проверки входа, winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. Далее активируется оболочка и запускается Explorer, который является основой интерфейса Windows.

Запускается процессом smss.exe при загрузке ОС, а затем сам включает lsass.exe и services.exe.

Основные функции программы:

  • работоспособность и защита рабочего стола;
  • работа компьютерной сети;
  • контроль хранителя экрана (скринсейвера);
  • загрузка пользовательских профилей;
  • обеспечение безопасности пользовательских данных, работа со стандартом SAS;
  • проведение верификации копий ОС Windows.
  • поддержка входа и выхода пользователя из системы и другие.

По умолчанию, файл располагается в папке System32 или SysWoW64 в зависимости от разрядности системы.

Особенности

Процесс winlogon.exe невозможно завершить на пользовательском уровне, так как он является системным. От его присутствия зависит работоспособность большинство модулей ОС.

win

Управление такими процессами осуществляется на уровне ядра со знаниями системного программирования. Однако, если вам все же удастся завершить winlogon.exe, то работа Windows будет нестабильной вплоть до полной остановки, ввиду чего придется перезапустить компьютер.

Также особенностью этого процесса является управление системными сочетаниями клавиш. В отличие от GNU/Linux, в Windows невозможно штатными средствами переназначать клавиши по типу «Alt + Tab» (смена активного окна) или «Ctrl + Alt + Delete»  (блокировка экрана).

Иногда возникает проблема в процессе установки какого-либо ПО. Такое возможно, если запущено приложение, связанное с winlogon.exe (например, FineReader OCR). В этом случае необходимо закрыть все лишние программы перед установкой, чтобы избежать конфликтов ОС.

Заражение вирусом

Изолированием winlogon.exe от действий пользователя эффективно пользуются разработчики вирусов. Наличие знаний в области прикладного и системного программирования позволяет им обходить это ограничение и создавать вирус с точно таким же названием, но другим расположением на диске. Свидетельствовать о заражении может сообщение, что winlogon.exe инициировал перезапуск.

  1. Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc».
  2. Перейдите на вкладку «Процессы».
  3. Убедитесь, что в списке присутствует только один winlogon.exe. В противном случае, проверьте компьютер на наличие вирусов.

winlogon

Выводы

Winlogon.exe является системной программой, отвечающей за начальную загрузку системы и аутентификацию пользователя. В списке запущенных процессов она должна быть в единственном экземпляре. В противном случае, необходимо проверить компьютер на вирусы.

Like this post? Please share to your friends:
  • В оперативной системе windows собственное имя файла не может содержать символ
  • В оперативной системе windows жесткий диск имеет логическое имя
  • В окне компоненты windows ничего нет
  • В окне выполнить не сохраняются команды windows 10
  • В окне включение или отключение компонентов windows стало пусто