Содержание
- Сведения о процессе
- Основные задачи
- Размещение файла
- Подмена вредоносной программой
- Вопросы и ответы
WINLOGON.EXE – это процесс, без которого невозможен запуск ОС Windows и её дальнейшее функционирование. Но иногда под его личиной кроется вирусная угроза. Давайте разберемся, в чем состоят задачи WINLOGON.EXE и какая опасность может исходить от него.
Сведения о процессе
Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».
Какие же функции он выполняет и зачем нужен?
Основные задачи
Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.
Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).
Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.
При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.
Размещение файла
Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.
- Для того, чтобы определить место расположения файла с помощью Диспетчера задач, прежде всего нужно переключиться в нем в режим отображения процессов всех юзеров, произведя нажим на соответствующую кнопку.
- После этого кликаем правой кнопкой мышки по наименованию элемента. В раскрывшемся перечне выбираем «Свойства».
- В окне свойств перейдите во вкладку «Общие». Напротив надписи «Расположение» находится адрес размещения искомого файла. Практически всегда этот адрес следующий:
C:WindowsSystem32
В очень редких случаях процесс может ссылаться на следующую директорию:
C:Windowsdllcache
Кроме этих двух директорий больше нигде размещение искомого файла невозможно.
Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.
- В режиме отображения процессов всех пользователей щелкните по элементу правой кнопкой мыши. В контекстном меню выберите «Открыть место хранения файла».
- После этого откроется Проводник в той директории винчестера, где расположен искомый объект.
Подмена вредоносной программой
Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.
- Прежде всего, нужно знать, что в Диспетчере задач может быть только один процесс WINLOGON.EXE. Если вы наблюдаете больше, то один из них вирус. Обратите внимание, чтобы напротив изучаемого элемента в поле «Пользователь» стояло значение «Система» («SYSTEM»). Если процесс запускается от имени любого другого пользователя, например от имени текущего профиля, то можно констатировать факт, что мы имеем дело с вирусной активностью.
- Также проверьте место расположения файла любым из тех способов, которые были указаны выше. Если оно отличается от тех двух вариантов адресов для данного элемента, которые допускаются, то, опять же, перед нами вирус. Довольно часто вирус находится в корне каталога «Windows».
- Вашу настороженность должен вызвать факт высокого уровня использования ресурсов системы данным процессом. В нормальных условиях он практически неактивен и активизируется только в момент входа/выхода из системы. Поэтому потребляет крайне мало ресурсов. Если WINLOGON начинает грузить процессор и потреблять большое количество оперативки, то мы имеем дело либо с вирусом либо с каким-то сбоем в системе.
- Если хотя бы один из перечисленных подозрительных признаков имеется в наличии, то скачайте и запустите на ПК лечащую утилиту Dr.Web CureIt. Она просканирует систему и в случае обнаружения вирусов произведет лечение.
- Если утилита не помогла, но вы видите, что объектов WINLOGON.EXE в Диспетчере задач два или больше, то остановите тот объект, который не отвечает стандартам. Для этого щелкните по нему правой кнопкой мыши и выберите «Завершить процесс».
- Откроется маленькое окошко, где вы должны будете подтвердить свои намерения.
- После того, как процесс завершен, переместитесь в папку расположения того файла, на который он ссылался, щелкните по этому файлу правой кнопкой мышки и выберите в меню «Удалить». Если система того потребует, подтвердите свои намерения.
- После этого почистите реестр и повторно проверьте компьютер утилитой, так как довольно часто файлы такого типа подгружаются посредством команды из реестра, прописанной вирусом.
Если не удается остановить процесс или снести файл, то зайдите в систему в Безопасном режиме и выполните процедуру удаления.
Как видим, WINLOGON.EXE играет важную роль в функционировании системы. Он непосредственно отвечает за вход и за выход из неё. Хотя, почти что все время, пока пользователь работает на ПК, указанный процесс находится в пассивном состоянии, но при его принудительном завершении продолжение работы в Виндовс становится невозможным. Кроме того, существуют вирусы, которые имеют аналогичное имя, маскируясь под данный объект. Их важно в максимально короткие сроки вычислить и уничтожить.
Еще статьи по данной теме:
Помогла ли Вам статья?
Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей. Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера. И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.
Что это
Итак, процесс «Winlogon.exe» или «Windows Logon Application» — это системный компонент, имеющий обширный функциональный набор для работы с учётной записью пользователей. Структура данного компонента и все его полномочия имеют достаточно сложную структуру, разбираться в дебрях которой просто не имеет смысла. Для понимания его важности можно максимально упростить список его дел и выделить из них следующие пункты:
- Отвечает за сохранность рабочего стола. Грубо говоря, каждый раз, когда пользователь видит сообщение о необходимости ввести пароль для входа в свою учётную запись, это как раз и свидетельствует об успешности работы «Winlogon».
- Контроль за целостностью и сохранностью пользовательских данных, «сотрудничая» со стандартом «SAS».
- Контроль за активностью сетевых подключений.
- Подтверждение правомерности использования версии операционной системы.
- Обеспечение должного функционирования скринсерверов (при активных режимах работы).
Учитывая важность подобного функционала следует отметить, а также принимая во внимание, что исполняемый файл рассматриваемого процесса находится в системном каталоге — C:WindowsSystem32, его несанкционированная деактивация может привести к кратковременным или длительным сбоям в работе операционной системы. Поэтому, если вы стали свидетелями, что в «Диспетчере задач» у «Winlogon.exe» или у «Программа входа в систему Windows» (именно таким может быть его название) показатели создаваемой нагрузки выделены красным, ни в коем случае нельзя собственноручно завершать его работу, пока не будут выяснены причины сей ситуации.
Почему создаётся нагрузка
Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:
Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.
Заключение
После выявления нарушителя его требуется обезвредить специализированным антивирусным программным обеспечением. Желательно использовать сторонние утилиты, отличающиеся от представленного у вас на компьютере антивируса, так как данный защитник не справился со своей работой и проглядел «злодея». В качестве совета можно отметить такие утилиты как «Dr.Web CureIt!», «AdwCleaner» и «Malwarebytes». Последнее, в чём будет необходимо убедиться, – это то, насколько качественно работает установленный антивирус, возможно, ему требуется обновление или больше полномочий для функционирования.
Содержание
- Что это winlogon.exe в диспетчере задач
- Когда winlogon.exe становится угрозой
- Заключение
Открыв «Диспетчер задач» на своём компьютере каждый из пользователей может увидеть во вкладке процессов активный процесс winlogon.exe. В этой статье я расскажу о том, что это за процесс winlogon.exe и функциях данного процесса, а также поясню, как отличить Винлогон от вируса, который часто маскируется под рассматриваемый мною процесс.
Опытные пользователи, прочитав название данного процесса, уже могут сделать вывод, что раз его название включает слово «win», то данный процесс относится к процессам ОС Windows, а раз в названии содержится лексема «logon» (log on), то процесс winlogon.exe обслуживает процедуру входа пользователя в систему.
При этом видно, что этот процесс winlogon может иметь лишь два статуса – системный и заслуживающий доверия процесс ОС Windows, или вирус, червь или шпионская программа с таким же именем. Поэтому очень важно идентифицировать процесс, и вопрос “что это winlogon.exe” очень актуален.
Процесс winlogon.exe начинает свою работу со стартом операционной системе, и присутствует во всех версиях ОС Виндовс – от XP до Windows 10. Он был создан Microsoft для улучшения работы операционной системы, и наделён обширным функционалом.
- Винлогон ответственен за функционирование и защиту рабочего стола.
- За работу компьютерной сети.
- За контроль скринсейвера.
- Загрузку пользовательских профилей.
- Он обеспечивает безопасность пользовательских данных, работает со стандартом SAS.
- Проводит верификацию копий ОС Виндовс.
- Поддерживает вход и выход пользователя из системы, а также ряд других функций.
Исполняемый файл процесса winlogon.exe обычно находится в общей директории ОС Виндовс, в папке System32. Прекращение работы данного файла (а также удаление его) может иметь самые фатальные последствия для вашей операционной системы.
Данный процесс запускается процессом smss.exe при загрузке ОС, а затем он сам запускает процессы lsass.exe и services.exe.
Если у вас, как и у меня процесс Svchost.exe периодически грузит процессор, изучите простые рекомендации по исправлению тут.
Когда winlogon.exe становится угрозой
Очень часто различные вирусные программы проникают на компьютер пользователя и работают в нём под именем winlogon.exe (отмечены вирусы Trojan.Goldun, [email protected], W32.IRCBot, [email protected] и ряд других).
- Для проверки наличия вируса с названием winlogon.exe запустите диспетчер задач, и посчитайте количество процессов под данным именем.
- Обычно запущен только один такой процесс, файл которого находится в директории WindowsSystem32 (иногда файл винлогон может также находится по адресу Windowsdllcache).
- Если у вас активны два или более процессов, и эти процессы находятся в другой, нежели System32 (dllcache), директории, то вы имеете дело со злокачественными программами, проникшими на ваш компьютер.
Исполняемый файл Winlogon.exe
Для определения количества и местоположения файлов winlogon.exe зайдите в диспетчер задач, перейдите во вкладку «Процессы», нажмите галочку напротив опции отображения процессов всех пользователей (внизу), найдите все процессы winlogon.exe, и, нажав на каждом из них правую клавишу мыши, выберите «открытие места хранения файла».
Если вам откроет любую директорию, кроме упомянутых мной чуть выше, – у вас на компьютере вирус. Для избавления от него используйте надёжные антивирусные программы уровня Trojan Remover, Dr.Web CureIt! и других, также можно задействовать такой полезный инструмент как Security Task Manager, который проанализирует все запущенные на компьютере процессы, позволяя удалять ненужные и вредоносные их вариации.
Очень часто на присутствие вируса в системе указывают ошибки с упоминанием winlogon, которые появляются при загрузке и работе операционной системы. Если вы столкнулись с такой ошибкой – также проверьте вашу систему на наличие различных зловредов.
Заключение
Что это winlogon.exe? Рассматриваемый мной процесс winlogon.exe – это несомненный атрибут функционала ОС Виндовс. Он имеет очень важное значение в работе операционной системы, а его повреждение или удаление может иметь самые печальные последствия для работы вашего компьютера. При этом различный злокачественный софт часто маскируется под винлогон, затрудняя его идентификацию и удаление пользователем. По-чаще проверяйте ваш компьютер мощными антивирусными программами – это убережёт вас от вирусов под маркой «winlogon.exe».
Как вам статья?
Задать вопрос
From Wikipedia, the free encyclopedia
(Redirected from Winlogon.exe)
This article needs to be updated. Please help update this article to reflect recent events or newly available information. (January 2014) |
In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.
Overview[edit]
Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.
Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.
Winlogon has the following responsibilities:
- Window station and desktop protection
- Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.
- Standard SAS recognition
- Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.
- SAS routine dispatching
- When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.
- User profile loading
- When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.
- Assignment of security to user shell
- When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.
- Screen saver control
- Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.
- Multiple network provider support
- Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.
See also[edit]
- List of Microsoft Windows components
- Architecture of the Windows NT operating system line
- Vundo, a trojan that attaches itself to winlogon.exe
- getty, a similar process in UNIX
- In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.[1]
References[edit]
- ^ Warren, Tom (2020-09-25). «Windows XP source code leaks online». The Verge. Retrieved 2020-09-27.
External links[edit]
- Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
- Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
- MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
- Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008
From Wikipedia, the free encyclopedia
(Redirected from Winlogon.exe)
This article needs to be updated. Please help update this article to reflect recent events or newly available information. (January 2014) |
In computing, Winlogon (Windows Logon) is the component of Microsoft Windows operating systems that is responsible for handling the secure attention sequence, loading the user profile on logon, and optionally locking the computer when a screensaver is running (requiring another authentication step). The actual obtainment and verification of user credentials is left to other components.
Winlogon is a common target for several threats that could modify its function and memory usage. Increased memory usage for this process might indicate that it has been «hijacked».
In Windows Vista and later operating systems, Winlogon’s roles and responsibilities have changed significantly.
Overview[edit]
Winlogon handles interface functions that are independent of authentication policy. It creates the desktops for the window station, implements time-out operations, and in versions of Windows prior to Windows Vista, provides a set of support functions for the GINA and takes responsibility for configuring machine and user Group Policy.
Winlogon also checks if the copy of Windows is a legitimate license starting in Windows XP and later.
Winlogon has the following responsibilities:
- Window station and desktop protection
- Winlogon sets the protection of the window station and corresponding desktops to ensure that each is properly accessible. In general, this means that the local system will have full access to these objects and that an interactively logged-on user will have read access to the window station object and full access to the application desktop object.
- Standard SAS recognition
- Winlogon has special hooks into the User32 server that allow it to monitor Control-Alt-Delete secure attention sequence (SAS) events. Winlogon makes this SAS event information available to GINAs to use as their SAS, or as part of their SAS. In general, GINAs should monitor SASs on their own; however, any GINA that has the standard Ctrl+Alt+Del SAS as one of the SASs it recognizes should use the Winlogon support provided for this purpose.
- SAS routine dispatching
- When Winlogon encounters a SAS event or when a SAS is delivered to Winlogon by the GINA, Winlogon sets the state accordingly, changes to the Winlogon desktop, and calls one of the SAS processing functions of the GINA.
- User profile loading
- When users log on, their user profiles are loaded into the registry. In this way, the processes of the user can use the special registry key HKEY_CURRENT_USER. Winlogon does this automatically after a successful logon but before activation of the shell for the newly logged-on user.
- Assignment of security to user shell
- When a user logs on, the GINA is responsible for creating one or more initial processes for that user. Winlogon provides a support function for the GINA to apply the security of the newly logged-on user to these processes. However, the preferred way to do this is for the GINA to call the Windows function CreateProcessAsUser, and let the system provide the service.
- Screen saver control
- Winlogon monitors keyboard and mouse activity to determine when to activate screen savers. After the screen saver is activated, Winlogon continues to monitor keyboard and mouse activity to determine when to terminate the screen saver. If the screen saver is marked as secure, Winlogon treats the workstation as locked. When there is mouse or keyboard activity, Winlogon invokes the WlxDisplayLockedNotice function of the GINA and locked workstation behavior resumes. If the screen saver is not secure, any keyboard or mouse activity terminates the screen saver without notification to the GINA.
- Multiple network provider support
- Multiple networks installed on a Windows system can be included in the authentication process and in password-updating operations. This inclusion lets additional networks gather identification and authentication information all at once during normal logon, using the secure desktop of Winlogon. Some of the parameters required in the Winlogon services available to GINAs explicitly support these additional network providers.
See also[edit]
- List of Microsoft Windows components
- Architecture of the Windows NT operating system line
- Vundo, a trojan that attaches itself to winlogon.exe
- getty, a similar process in UNIX
- In the Windows XP Source code leak in September 2020, Winlogon was the only piece missing from the source code, rendering the leaked operating system incomplete.[1]
References[edit]
- ^ Warren, Tom (2020-09-25). «Windows XP source code leaks online». The Verge. Retrieved 2020-09-27.
External links[edit]
- Customizing GINA — Part 1, Developer tutorial for writing a custom GINA
- Customizing GINA — Part 2, Developer tutorial for writing a custom GINA
- MSKB:193361 MSGINA.DLL does not Reset WINLOGON Structure
- Windows Vista and Windows Server 2008: Understanding, Enhancing and Extending Security End-to-end — Microsoft PowerPoint presentation that includes information on changes to Winlogon in Windows Vista and Windows Server 2008
Winlogon.exe — это процесс, отвечающий за вход пользователя в систему. Но здесь, как и во всём мире IT-технологий, всё не так однозначно. Иногда под безобидным с виду процессом маскируется вирус. Незадачливые пользователи теряются, закрывая в «Диспетчере задач» нужный процесс. Более опытные, вчитавшись в название процесса, могут выделить две составляющие его названия («win» и «logon») и самостоятельно понять его назначение, но так сделать могут не все.
Чтобы избежать сбоев в работе системы, необходимо научиться распознавать, когда процесс c названием «winlogon.exe» представляет угрозу для безопасности операционной системы.
Содержание
- Как разобраться с назначением процесса winlogon.exe
- Устраняем проблему
- Заключение
Процесс может быть годами запущен на персоналке, скрыто передавая данные третьим лицам.
Проанализируем текущие системные процессы. Для начала зайдите в «Диспетчер задач». Это делается комбинацией кнопок Ctrl+Shift+Esc.
Дальше надо сделать следующее:
- Необходимо посчитать процессы с именем winlogon.exe;
- Процесс с вышеуказанным названием должен быть только в одном экземпляре. Файл этого процесса должен находиться в директории
C:WindowsSystem32
или
C:Windowsdllcache
(пути к файлу процесса актуальны для Windows 7 или Windows XP); - Если файл процесса находится в другой директории, то речь идёт о вирусе, с которым нужно бороться.
Чтобы определить количество процессов Винлогон, надо в «Диспетчере задач», перейдя во вкладку «Процессы», установить галочку в квадрате «Отображать процессы для всех пользователей». Далее, нажав на одном из них правой кнопкой мыши, необходимо выбрать меню «Открыть место хранения файла».
Устраняем проблему
Если файл будет находиться в одной из двух вышеуказанных директорий, процесс закрывать ни в коем случае нельзя. Это может привести к сбоям в работе системы или к её полному отказу. Если файл находится не в вышеупомянутых папках, то вероятнее всего на компьютере вирус.
Необходимо полностью проверить систему на наличие вредоносных программ (вирусов, червей, троянов) программой-антивирусом. Если мало времени, можно применить программу CureIT. Она бесплатна для некоммерческого использования.
Заключение
Тема системной безопасности сегодня актуальна как никогда. Вредоносные процессы и вирусы распространены повсеместно. Нельзя не согласиться с фактом: безопасность современного пользователя зависит только от него самого. Никакие антивирусы и лечащие утилиты не заменят пользовательскую бдительность. Удачного пользования системой.
WiFiGid приветствует вас! Эту статью посвятим разбору WINLOGON.exe. Узнаем что это за процесс, нужно ли его удалять, где он находится, может ли за ним прятаться страшный и опасный вирус. Такой себе классический джентельменский чемоданчик для любого непонятного процесса на Windows. Предлагаю сразу же перейти к рассмотрению!
Если у вас появились какие-то вопросы или есть что-то интересное, чем вы бы хотели поделиться в нашем сообществе – оставьте комментарий под этой статье. Мы будем очень рады!
Содержание
- Что это за процесс?
- Связи с другими процессами
- Где находится на диске?
- Как определить вирус?
- Видео по теме
- Задать вопрос автору статьи
Что это за процесс?
WINLOGON.exe – стандартный процесс (программа) всех версий Windows, который отвечает за вход и выход пользователя в систему (как за сам процесс, так и за отображение этих красивых окошек с пользователями). Т.е. даже если вы не видите экран входа при загрузке, считаем что на любом включении вы все равно сидите в системе под каким-то своим пользователем. Вот за это и отвечает winlogon.exe.
Т.е. в стандартных ситуациях – это обычный правильный процесс, который не нужно трогать, а то может вылететь синий экран.
Вот так в списке процессов выглядит обычный правильный winlogon. На самом деле объем памяти от разных версий Windows может расходиться, но обычно он много не занимает:
Связи с другими процессами
Попробуем распутать цепочку связей нашего процесса, кому-то будет полезным:
- SMSS.EXE (диспетчер сеанса) запускает WINLOGON.EXE.
- WINLOGON.EXE запускает LSASS.EXE (сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (диспетчер управления службами).
Где находится на диске?
Как мы выяснили выше, файл WINLOGON.exe загружается самостоятельно при старте с помощью SMSS.EXE. Физический путь WINLOGON в системе:
C:WindowsSystem32
Очень редко (но бывает):
C:Windowsdllcache
Как определить вирус?
Периодически под процесс WINLOGON маскируются разные вирусы. Причем процесс настолько популярный среди разработчиков зловредов, что какое-то отдельное поведение заразы вычислить сложно:
- Процесс может ненормально грузить процессор, диск, видеокарту – это видно сразу в диспетчере устройств (Ctrl + Shift + Esc).
- Обращаем внимание, что процесс должен быть запущен от имени «СИСТЕМА» («SYSTEM»), а не какого-то другого пользователя (например, вашего).
- Проверяем расположение файла процесса (щелкаем по нему правой кнопкой мыши и выбираем пункт «Открыть расположение файла»). Правильные пути расположения писал в разделе выше.
- Проверяем правильное название. В своей практике встречал winlogSon и близки варианты написания.
Если что-то не сходится – прогоняем компьютер любым нормальным антивирусом. Скорее всего простое удаление файла и завершение процесса сильно не поможет (хотя можно и попробовать, главное не наломайте дров), т.к. нормальный вирус такое восстанавливает, так что в каждой конкретной ситуации уже нужно разбираться отдельно.
Видео по теме
Запуск операционной системы Windows начинается после прохождения компьютером POST-теста. Подсистема управления сеансами и клиент/сервер времени выполнения обращаются к программе входа в систему — winlogon.exe. Что это за процесс в Windows 7, рассказано в этой статье.
Функции программы
«Win» обозначает принадлежность процесса к ОС, «logon» (log on) указывает, что программа связана с процедурой входа пользователя систему — аутентификацией.
После успешной проверки входа, winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. Далее активируется оболочка и запускается Explorer, который является основой интерфейса Windows.
Запускается процессом smss.exe при загрузке ОС, а затем сам включает lsass.exe и services.exe.
Основные функции программы:
- работоспособность и защита рабочего стола;
- работа компьютерной сети;
- контроль хранителя экрана (скринсейвера);
- загрузка пользовательских профилей;
- обеспечение безопасности пользовательских данных, работа со стандартом SAS;
- проведение верификации копий ОС Windows.
- поддержка входа и выхода пользователя из системы и другие.
По умолчанию, файл располагается в папке System32 или SysWoW64 в зависимости от разрядности системы.
Особенности
Процесс winlogon.exe невозможно завершить на пользовательском уровне, так как он является системным. От его присутствия зависит работоспособность большинство модулей ОС.
Управление такими процессами осуществляется на уровне ядра со знаниями системного программирования. Однако, если вам все же удастся завершить winlogon.exe, то работа Windows будет нестабильной вплоть до полной остановки, ввиду чего придется перезапустить компьютер.
Также особенностью этого процесса является управление системными сочетаниями клавиш. В отличие от GNU/Linux, в Windows невозможно штатными средствами переназначать клавиши по типу «Alt + Tab» (смена активного окна) или «Ctrl + Alt + Delete» (блокировка экрана).
Иногда возникает проблема в процессе установки какого-либо ПО. Такое возможно, если запущено приложение, связанное с winlogon.exe (например, FineReader OCR). В этом случае необходимо закрыть все лишние программы перед установкой, чтобы избежать конфликтов ОС.
Заражение вирусом
Изолированием winlogon.exe от действий пользователя эффективно пользуются разработчики вирусов. Наличие знаний в области прикладного и системного программирования позволяет им обходить это ограничение и создавать вирус с точно таким же названием, но другим расположением на диске. Свидетельствовать о заражении может сообщение, что winlogon.exe инициировал перезапуск.
- Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc».
- Перейдите на вкладку «Процессы».
- Убедитесь, что в списке присутствует только один winlogon.exe. В противном случае, проверьте компьютер на наличие вирусов.
Выводы
Winlogon.exe является системной программой, отвечающей за начальную загрузку системы и аутентификацию пользователя. В списке запущенных процессов она должна быть в единственном экземпляре. В противном случае, необходимо проверить компьютер на вирусы.
Доброго времени, дорогой юзер Речь пойдет о процессе winlogon.exe, это очень важный процесс и без него системе будет плохо, глюки обеспечены, поэтому сразу мой долг вам объявить — не сметь его удалять или завершать.
Winlogon.exe это процесс, которые отвечает за вход в систему, но его запускают другие процессы — это smss.exe и csrss.exe, которые в свою очередь также ну очень важные процессы Также под процессом может скрывать и вирус, ибо доверчивые пользователи, которые уже знают что процесс winlogon.exe системный, то также думают и о втором процессе, которого кстати быть вообще не должно
Процесс winlogon.exe в диспетчере задач должен быть один единственный и неповторимый, никаких копий в диспетчере задач, а если есть — то все, скорее всего у вас вирус, нужно срочно антивирусными утилитами прочесать комп.
Если вы все таки умудрились завершить процесс winlogon.exe, то получите в итоге синий экран похож на обман, то есть ошибку BSOD.
После того как winlogon.exe запустился, далее он запускает еще lsass.exe и services.exe (это службы). Потом также выполняет команды, которые указаны в параметре Userinit (это в реестре), ну и дальше уже в свою очередь процесс userinit.exe запускает программы из парамтера Shell (как правило это оболочка Windows, то есть процесс explorer.exe). Вот такие дела
По умолчанию файл winlogon.exe обитает в таких папках как:
%SYSTEMROOT%system32
%SYSTEMROOT%dllcache
Это его родные папки, в других его быть не должно, иначе это вирус. Посмотрим как этот процесс живет в Windows 7. Открываем диспетчер задач и переходим на вкладку Процессы, а там находим winlogon.exe, нажимаем по нему правой кнопкой и выбираем пункт открыть место хранения:
Теперь смотрим в какой папке он находится:
Как видите, это папка System32, так как и должно быть. Смотрите, чтобы у вас было также
Дальше, еще можете глянуть на его характеристики в всплывающей подсказке (кстати значок так и не поменяли, он в Windows XP такой же):
Это у меня Windows 7 со всеми обновлениями, чистая, вирусов точно нет. Поэтому характеристики достоверные
Какой можно сделать вывод? Вам нужно проанализировать процесс winlogon.exe на то как он себя ведет, не грузит ли комп, не много ли потребляет оперативки и убедиться что он один запущенный (и кстати от имени Система). Также проверьте откуда он запущен — это должна быть папка C:WindowsSystem32 и только она, никаких C:Windows или похожего, это все маскировки вируса!
Если winlogon.exe несколько, при этом один из них запущен не от имени Система, если при этом еще и грузит процессор — то вполне возможно что это вирус, я бы настоятельно рекомендую вам задуматься о антивирусе, или есть он есть, то о смене его
В итоге, если есть подозрения, то советую проверить комп этими утилитами — AdwCleaner (это специалист по отлову рекламных вирусов) и Kaspersky Virus Removal Tool (не путать с антивирусом, это просто утилита для проверки на вирусы, трояны, руткиты и прочую вредоносную нечисть).
Еще могу посоветовать такую утилиту как HitmanPro — мне в ней нравится то, что она очень тщательно проверят систему, подтверждение этому служит то, что находит вредоносные объекты даже в кукисах (или куки, это такие файлы, которые оставляют сайты).
На главную!
03.05.2016