Процесс WINLOGON.EXE
WINLOGON.EXE – это процесс, без которого невозможен запуск ОС Windows и её дальнейшее функционирование. Но иногда под его личиной кроется вирусная угроза. Давайте разберемся, в чем состоят задачи WINLOGON.EXE и какая опасность может исходить от него.
Сведения о процессе
Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».
Какие же функции он выполняет и зачем нужен?
Основные задачи
Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.
Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).
Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.
При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.
Размещение файла
Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.
- Для того, чтобы определить место расположения файла с помощью Диспетчера задач, прежде всего нужно переключиться в нем в режим отображения процессов всех юзеров, произведя нажим на соответствующую кнопку.
После этого кликаем правой кнопкой мышки по наименованию элемента. В раскрывшемся перечне выбираем «Свойства».
В окне свойств перейдите во вкладку «Общие». Напротив надписи «Расположение» находится адрес размещения искомого файла. Практически всегда этот адрес следующий:
В очень редких случаях процесс может ссылаться на следующую директорию:
Кроме этих двух директорий больше нигде размещение искомого файла невозможно.
Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.
- В режиме отображения процессов всех пользователей щелкните по элементу правой кнопкой мыши. В контекстном меню выберите «Открыть место хранения файла».
Подмена вредоносной программой
Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.
- Прежде всего, нужно знать, что в Диспетчере задач может быть только один процесс WINLOGON.EXE. Если вы наблюдаете больше, то один из них вирус. Обратите внимание, чтобы напротив изучаемого элемента в поле «Пользователь» стояло значение «Система» («SYSTEM»). Если процесс запускается от имени любого другого пользователя, например от имени текущего профиля, то можно констатировать факт, что мы имеем дело с вирусной активностью.
Также проверьте место расположения файла любым из тех способов, которые были указаны выше. Если оно отличается от тех двух вариантов адресов для данного элемента, которые допускаются, то, опять же, перед нами вирус. Довольно часто вирус находится в корне каталога «Windows».
Вашу настороженность должен вызвать факт высокого уровня использования ресурсов системы данным процессом. В нормальных условиях он практически неактивен и активизируется только в момент входа/выхода из системы. Поэтому потребляет крайне мало ресурсов. Если WINLOGON начинает грузить процессор и потреблять большое количество оперативки, то мы имеем дело либо с вирусом либо с каким-то сбоем в системе.
Если хотя бы один из перечисленных подозрительных признаков имеется в наличии, то скачайте и запустите на ПК лечащую утилиту Dr.Web CureIt. Она просканирует систему и в случае обнаружения вирусов произведет лечение.
Если утилита не помогла, но вы видите, что объектов WINLOGON.EXE в Диспетчере задач два или больше, то остановите тот объект, который не отвечает стандартам. Для этого щелкните по нему правой кнопкой мыши и выберите «Завершить процесс».
Откроется маленькое окошко, где вы должны будете подтвердить свои намерения.
После того, как процесс завершен, переместитесь в папку расположения того файла, на который он ссылался, щелкните по этому файлу правой кнопкой мышки и выберите в меню «Удалить». Если система того потребует, подтвердите свои намерения.
После этого почистите реестр и повторно проверьте компьютер утилитой, так как довольно часто файлы такого типа подгружаются посредством команды из реестра, прописанной вирусом.
Если не удается остановить процесс или снести файл, то зайдите в систему в Безопасном режиме и выполните процедуру удаления.
Winlogon.exe что это за процесс
Автор: admin · Опубликовано Август 31, 2016 · Обновлено Май 8, 2018
Открыв «Диспетчер задач» на своём компьютере каждый из пользователей может увидеть во вкладке процессов активный процесс winlogon.exe. В этой статье я расскажу о том, что это за процесс winlogon.exe и функциях данного процесса, а также поясню, как отличить Винлогон от вируса, который часто маскируется под рассматриваемый мною процесс.
Что это winlogon.exe в диспетчере задач
Опытные пользователи, прочитав название данного процесса, уже могут сделать вывод, что раз его название включает слово «win», то данный процесс относится к процессам ОС Windows, а раз в названии содержится лексема «logon» (log on), то процесс winlogon.exe обслуживает процедуру входа пользователя в систему.
При этом видно, что этот процесс winlogon может иметь лишь два статуса – системный и заслуживающий доверия процесс ОС Windows, или вирус, червь или шпионская программа с таким же именем. Поэтому очень важно идентифицировать процесс, и вопрос “что это winlogon.exe” очень актуален.
Winlogon.exe что это такое
Процесс winlogon.exe начинает свою работу со стартом операционной системе, и присутствует во всех версиях ОС Виндовс – от XP до Windows 10. Он был создан Microsoft для улучшения работы операционной системы, и наделён обширным функционалом.
- Винлогон ответственен за функционирование и защиту рабочего стола.
- За работу компьютерной сети.
- За контроль скринсейвера.
- Загрузку пользовательских профилей.
- Он обеспечивает безопасность пользовательских данных, работает со стандартом SAS.
- Проводит верификацию копий ОС Виндовс.
- Поддерживает вход и выход пользователя из системы, а также ряд других функций.
Исполняемый файл процесса winlogon.exe обычно находится в общей директории ОС Виндовс, в папке System32. Прекращение работы данного файла (а также удаление его) может иметь самые фатальные последствия для вашей операционной системы.
Данный процесс запускается процессом smss.exe при загрузке ОС, а затем он сам запускает процессы lsass.exe и services.exe.
Когда winlogon.exe становится угрозой
Очень часто различные вирусные программы проникают на компьютер пользователя и работают в нём под именем winlogon.exe (отмечены вирусы Trojan.Goldun, W32.Netsky.D@mm, W32.IRCBot, W32.Neveg.A@mm и ряд других).
- Для проверки наличия вируса с названием winlogon.exe запустите диспетчер задач, и посчитайте количество процессов под данным именем.
- Обычно запущен только один такой процесс, файл которого находится в директории Windows\System32 (иногда файл винлогон может также находится по адресу Windows\dllcache).
- Если у вас активны два или более процессов, и эти процессы находятся в другой, нежели System32 (dllcache), директории, то вы имеете дело со злокачественными программами, проникшими на ваш компьютер.
Исполняемый файл Winlogon.exe
Для определения количества и местоположения файлов winlogon.exe зайдите в диспетчер задач, перейдите во вкладку «Процессы», нажмите галочку напротив опции отображения процессов всех пользователей (внизу), найдите все процессы winlogon.exe, и, нажав на каждом из них правую клавишу мыши, выберите «открытие места хранения файла».
Если вам откроет любую директорию, кроме упомянутых мной чуть выше, – у вас на компьютере вирус. Для избавления от него используйте надёжные антивирусные программы уровня Trojan Remover, Dr.Web CureIt! и других, также можно задействовать такой полезный инструмент как Security Task Manager, который проанализирует все запущенные на компьютере процессы, позволяя удалять ненужные и вредоносные их вариации.
Очень часто на присутствие вируса в системе указывают ошибки с упоминанием winlogon, которые появляются при загрузке и работе операционной системы. Если вы столкнулись с такой ошибкой – также проверьте вашу систему на наличие различных зловредов.
Процесс «Windows Logon Application» (winlogon.exe): что это и можно ли отключить?
Читайте за что отвечает процесс «winlogon.exe» и что будет если его отключить . Процесс «winlogon.exe» является важной частью операционной системы Windows. Этот процесс всегда работает в фоновом режиме в Windows, и он отвечает за некоторые важные системные функции. Например: «svchost.exe», «dwm.exe», «ctfmon.exe», «mDNSResponder.exe», «rundll32.exe», «Adobe_Updater.exe» и многие другие. Далее мы расскажем о нём поподробнее.
Что же такое Windows Logon Application?
Процесс «winlogon.exe» является критически важной частью операционной системы Windows, и вы не сможете получить доступ к ОС без этого процесса.
Он выполняет множество важных задач, связанных с авторизацией в ОС Windows. Например, при входе в систему «winlogon.exe» отвечает за загрузку профиля пользователя в реестр. Это позволяет программам использовать ключи реестра «HKEY_CURRENT_USER» , различные для каждой учетной записи пользователя.
«winlogon.exe» имеет специальный функционал в операционной системе, а также перехватывает нажатие комбинации клавиш «Ctrl + Alt + Delete» . Это опция, «secure attention sequence» (SAS) – «последовательность внимания к безопасности» , то есть особая комбинация клавиш, которую пользователь обязан набрать на клавиатуре перед входом в операционную систему. Нажатие этой комбинации всегда перехватывается процессом «winlogon.exe» , что гарантирует вам безопасный и защищённый «Вход в систему» , где другие программы не смогут проконтролировать введенные вами данные или выдать ложное диалоговое окно входа в ОС.
Приложение «Windows Logon» также отслеживает активность клавиатуры и мыши, и отвечает за блокировку вашего ПК и запуск хранителей экрана после периода бездействия.
Таким образом, «winlogon.exe» должен постоянно продолжать работу в фоновом режиме, являясь очень важной частью процесса авторизации в системе. На сайте компании «Microsoft» вы сможете найти более подробный технический список возможностей процесса «Winlogon» , с расширенным описанием оных.
Могу ли я отключить его?
Вы не cможете продолжить работу в операционной системе Windows, отключив этот процесс. Это важная часть Windows, и он должен работать постоянно. К тому же, у вас не найдётся причин отключать его, поскольку он использует крайне маленькое количество ресурсов ПК в фоновом режиме, но при этом выполняет критически важные функции для системы.
Если вы попытаетесь завершить процесс из «Диспетчера задач» , то увидите сообщение о том, что завершение процесса «может привести к нестабильной работе системы». Если вы всё же нажали «Завершить процесс» , то ваш экран станет черным, и ваш ПК даже не ответит на «Ctrl + Alt + Delete» . Именно процесс «winlogon.exe» отвечает за обработку это комбинации клавиш, поэтому восстановление вашего сеанса работы с ОС будет невозможно. Если система не сможет перезапустить его сразу же, то перезагрузите компьютер.
ОС Windows всегда запускает этот процесс при включении ПК. Если это действие не удалось, то компьютер выдаст синий экран с кодом ошибки «0xC000021A» , обычно именуемый как «Blue screen of Death» (BSoD) – «синий экран смерти» .
Может ли этот процесс стать вирусом?
Обычно процесс «winlogon.exe» постоянно запущен в вашей операционной системе. Исполняемый файл «winlogon.exe» находится в каталоге «C:\Windows\System32» на системном диске с установленной ОС. Чтобы проверить его подлинность, щелкните на него правой кнопкой мыши в диспетчере задач и выберите «Открыть расположение файла» .
Проводник должен открыть каталог «C:\Windows\System32» (проверьте этот адрес в строке адреса), и выделить файл «winlogon.exe» .
Если кто-то вам сказал или вы где-то прочитали, что файл winlogon.exe, расположенный в данном каталоге, является вирусом , это не правда. Этот файл должен быть запущен на каждом компьютере под ОС Windows и находится именно здесь. Если вы удалите его, то скорее всего вам придётся заново переустанавливать и настраивать систему.
Какие-то техники из технической поддержки указали вам на «winlogon.exe» или любые другие важные системные файлы и запущенные процессы, и сказали: «Если вы видите эти процессы на вашем ПК, то у вас есть вредоносное ПО» , проверьте систему антивирусом , но эти процессы и должны быть запущены, и это нормально. Не поддавайтесь на провокации мошенников!
С другой стороны, если вы найдёте файл «winlogon.exe» , который расположен в любом другом каталоге на вашем ПК, то скорее всего у вас проблема. Вирусы или другой тип вредоносного ПО могут маскироваться под критически важные системные процессы, поскольку они пытаются скрыться от ваших глаз и продолжать работать в фоновом режиме. Высокий уровень использования ресурсов компьютера (процессора или памяти) для процесса «winlogon.exe» также является косвенным признаком того, что с ним что-то не так. Этот процесс не должен использовать много ресурсов «CPU» или оперативной памяти в обычных ситуациях.
В таких случаях запустите полное сканирование системы с помощью вашего антивирусного программного обеспечения . Оно должно удалить обнаруженные вредоносные программы или разного рода нелегальные надстройки в системе.