Что из себя представляет процесс winlogon.exe в Windows
Опуская подробности низкоуровневой стадии загрузки операционной системы, процесс загрузки системы Windows можно описать следующим образом: подсистема управления сеансами и так называемый клиентсервер времени выполнения обращаются к программе входа в систему.
Программа входа в систему представляет собой файл winlogon.exe, к которому и обращаются вышеупомянутые процессы. Именно с этого момента начинается отсчет времени интерактивного взаимодействия системы и пользователя. Поэтому знать о том, что за процесс winlogon.exe – будет полезно каждому квалифицированному пользователю.
Никакое взаимодействие с пользователем невозможно без отклика на щелчки по клавишам клавиатуры. С самого начала своей работы процесс winlogon.exe предоставляет пользователю такую возможность. В первую очередь задействуется реакция на стандартные клавиатурные комбинации . Далее программа входа в систему загружает библиотеки нотификации. С их помощью производится проверка правильности ввода логина и пароля, если такие установлены пользователем.
Как использовать журнал событий в Windows
Дальше процесс запуска разворачивается по цепочке. winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. После этого активируется Shell и запускает Explorer, который, в свою очередь, является основой интерфейса Windows.
Особенности программы входа в систему
Процесс winlogon.exe относится к категории «неубиваемых». Его невозможно вычеркнуть из списка исполняемых воспользовавшись, например, «Диспетчером задач». Было бы странно, если бы это у кого-то получилось. Зато это можно сделать при помощи специализированного программного обеспечения, например, — утилиты «Process Explorer».
Для того чтобы «прихлопнуть» эту службу программным способом, недостаточно использования API верхнего уровня. Для этого потребуется получение привилегий уровня ядра, что значительно усложняет программирование такой задачи.
Если вам все-таки удастся уничтожить службу входа в систему во время сеанса работы в Windows, то ничего интересного, кроме «кракозябров» на экране, вы не увидите. Windows будет остановлен, и компьютер придется перезагружать нажатием кнопки на системном блоке.
Не смотря на то, что процесс winlogon.exe никак не проявляет себя внешне, он все же имеет собственное окно. Только это окно не отображается на экране и является невидимым. Однако именно в очередь сообщений этого окна попадают все коды нажатий клавиш на клавиатуре. И только потом они поступают к окнам пользователя.
Некоторые из клавиатурных комбинаций это окно не пропускает дальше и резервирует за собой. Поэтому назначить какую-нибудь другую функцию, кроме функции переключения окон, — не удастся.
Эксперименты с загрузчиком
На тему экспериментов с процессом winlogon.exe можно написать если не роман, то большую повесть. Кто только не приложил к этом руку. Начиная от вполне добропорядочных граждан, стремящихся заполучить дополнительные удобства в Windows и заканчивая безответственными лодырями, с большими познаниями в программировании, и злостными вирусописателями.
Некоторые любопытные эксперименты основаны на том, что программа входа в систему напрямую обращается к отдельным ключам реестра. Да не просто читает там информацию, а запускает другие программы, имена которых в данных ключах прописаны. Следовательно, если изменить эти имена, то можно добиться довольно нестандартной реакции и системы на процесс запуска.
Например, подсунуть пользователю иную картинку, чем та, которая возникает при отказе от ввода логина и пароля. Как выяснилось, процесс winlogon.exe ответственен и за озвучивание системных сообщений. Это также открывает большие возможности для любителей покопаться в потрохах Windows.
Но самые большие нарекания вызывает использование данного процесса, как основы для целого выводка вирусов. Некоторые вирусы успешно мимикрировали под задачу входа в систему и оказались способны нанести большой вред пользователю.
Нужно помнить, что любой файл с таким же, как у программы входа в систему именем, расположенный где-либо за пределами папок «system32» и «dllcache» — это практически наверняка вирус.
Удаляйте такие подозрительные файлы сразу же, как только обнаружите.
Источник: windowstune.ru
Winlogon.EXE: что за процесс, и почему он грузит систему?
По всей видимости, любой пользователь компьютерной системы, которая работает под управлением Windows, так или иначе, но использовал для выполнения некоторых действий или завершения работы зависших приложений стандартный «Диспетчер задач». Процессов и служб, активных в определенный момент времени, представлено в нем очень много, но сразу бросается в глаза служба Winlogon.exe.
Что за процесс видит пользователь? Системную службу или вирус? Если речь идет о чистой системе, это важный компонент Windows, но в случае, когда со стороны этого процесса наблюдается повышенная нагрузка на системные ресурсы, не исключается, что, увы, это может быть вирус (чаще всего он может относиться к категории троянов). Далее предлагается рассмотреть и оригинальную службу, и возможные угрозы, обосновавшиеся в системе без ведома пользователя.
Что за процесс Winlogon.exe?
Начнем с оригинального системного компонента. Чтобы понять, что за процесс Winlogon.exe, достаточно разобраться с его названием. Наверняка многие уже поняли, о чем идет речь. Win – сокращение от Windows, logon – слитное написание Log On.
Таким образом, нетрудно сделать вывод, что данный процесс является службой входа в систему, причем не только при первоначальной загрузке, но и при смене пользователя. При обычном старте операционной системы он запускается службой smss.exe для обеспечения выбора пользователя и ввода пароля доступа к профилю, в свою очередь, инициируя старт других системных компонентов (services.exe, lsass.exe и т. д.).
Основное предназначение службы
Что же касается основных функций, которые возложены на эту службу, основными можно назвать следующие:
- вход в систему и выход из нее при помощи контроля настроек профилей зарегистрированных пользователей;
- слежение за безопасностью пользовательских данных;
- обеспечение функционирования «Рабочего стола»;
- контроль сетевых подключений;
- обеспечение работы скринсэйвера (если он включен и используется);
- верификация копий операционных систем.
Почему процесс грузит систему?
Но на этом радужном фоне можно встретить и черные пятна. Иногда пользователи замечают, что данный компонент начинает потреблять неоправданно много ресурсов с неимоверным увеличением нагрузки на центральный процессор и оперативную память, да, и система, неизвестно почему выдает сообщения о том, что процесс Winlogon.exe инициировал выполнение какой-то процедуры (обычно самопроизвольное выключение компьютера или перезагрузка). Почему так происходит? Да только потому, что наряду с оригинальным процессом в системе обосновался вирус, маскирующийся под эту системную службу.
Процесс Winlogon.exe инициировал действие выключения питания: почему?
Да, действительно, проблемы с питанием являются самыми распространенными. Обычные вирусы себя так не ведут. Но в данном случае мы имеем дело с необычными угрозами. Несмотря на то, что они появились очень давно (чуть ли не на заре развития первых компьютеров на основе Windows) и на сегодняшний день, в общем-то, морально устарели, тем не менее в последнее время что-то замечена их подозрительно высокая активность. Но не только вирусы могут вызывать выключение или перезагрузку.
И в самой операционной системе хватает настроек, которые могут устанавливать автоматический режим управления электропитанием, что обычно связано с восстановлением после каких-то сбоев.
Отключение автоматической перезагрузки
Итак, что за процесс Winlogon.exe, немного понятно. Теперь давайте посмотрим, какие действия можно предпринять, чтобы избежать автоматического рестарта или полного отключения компьютерных систем.
Для этого в разделе восстановления необходимо убрать флажок с пункта выполнения автоматической перезагрузки, перейдя к нему через дополнительные параметры в свойствах системы.
Как выявить вирусный процесс?
Теперь остановимся на тех моментах, когда выдается предупреждение о том, что процесс Winlogon.exe инициировал выключение питания. В данном случае, как уже, наверное, понятно, речь идет о выявлении вирусных угроз.
Первым делом необходимо заглянуть в «Диспетчер задач». В нем может находиться только один (!) процесс Winlogon.exe с атрибутом «Система». Если вы наблюдаете два и более одинаковых процесса, это точно вирусы. Через меню ПКМ на выбранном процессе нужно перейти к пункту отображения расположения файла.
Оригинальный системный компонент может находиться только в двух местах: в каталоге System32 и иногда в папке dllcache (обе расположены в основной директории Windows).
Как удалить троян?
Теперь разберемся с удалением вирусных угроз. Исходим из того, что вирус при выдаче сообщение о том, что процесс Winlogon.exe инициировал действие включения питания, выявлен. Как его нейтрализовать?
Несмотря на свою относительную по современным меркам неактуальность, обосновываются такие угрозы в системе достаточно глубоко, и далеко не все антивирусные пакеты способны не то что их обезвредить, но и даже обнаружить. В любом случае в качестве неотложной меры используйте какой-нибудь портативный сканер вроде Dr. Web CureIt!, предварительно обновив для него антивирусные базы.
Если результат будет нулевым, воспользуйтесь дисковой утилитой Kaspersky Rescue Disk, при помощи которой нужно загрузиться со съемного носителя, на котором она записана, а затем произвести сканирование системы еще до того, как стартует Windows.
Но давайте представим себе наихудшую ситуацию, когда угроза обнаружена не была, но сообщения о том, что процесс Winlogon.exe инициировал действие по отключению или рестарту компьютера, выдаются с завидной регулярностью. В этом случае придется заняться удалением вируса вручную. Прежде чем удалить папку и файлы вируса, следует зайти в реестр (regedit) и обратиться к ветке HKLM и через раздел SOFTWARE добраться до каталога автоматического обновления (AutoUpdate). По идее, в нем будет расположена подпапка RebootRequired.
Ее вместе со всем содержимым нужно удалить.
Теперь следует перезагрузить систему в безопасном режиме, затем удалить все файлы из папок TEMP, а потом в редакторе реестра перейти к ветке HCU. Через раздел SOFTWARE нужно найти следующие каталоги и выполнить удаление таких ключей:
- папка Run — ключ «Firewall auto setup»=»%windir%\winlogon.exe»;
- папки IEDesktop — «host»=». «;
- папки IESecurity — «host»=». «.
В приведенном примере параметр «. » обозначает любое вписанное там значение. По завершении всех действий теперь можно удалить компоненты вируса в «Проводнике» и выполнить полную перезагрузку компьютера.
Несколько слов напоследок
Это очень кратко о процессе Winlogon. По понятным причинам четкие механизмы функционирования этой службы не рассматривались, поскольку их углубленное описание рядовому пользователю совершенно ничего не даст.
Но самое главное, что следует четко усвоить, — завершать этот процесс в принудительном порядке с использованием «Диспетчера задач» нельзя ни при каких обстоятельствах, если только речь не идет о вирусах. Деактивация оригинального компонента приведет «всего лишь» к появлению синего экрана. Аналогичная ситуация может наблюдаться и в случае завершения не того процесса, если их несколько. Поэтому предварительно следует произвести определение месторасположения файлов.
Источник: www.syl.ru
Что такое приложение для входа в Windows или winlogon.exe?
Что это за winlogon.exe? Где он расположен? Это вирус? Почему время от времени он потребляет много ресурсов ЦП в Windows 10 и что вы с этим делаете? Теперь, если вы откроете диспетчер задач Windows, вы можете увидеть процесс winlogon.exe.
Это приложение для входа в Windows, и это файл операционной системы Windows, расположенный в папке System32 папка.
Приложение для входа в Windows (winlogon.exe)
Приложение для входа в Windows или winlogon.exe это критически важный процесс для системы Windows. Он работает в фоновом режиме и редко мешает нормальному функционированию системы. Он выполняет важные задачи при входе в систему. Этот процесс помогает распознать точную учетную запись (для разных пользователей) и загрузить профиль этого пользователя в реестр.
Он также управляет «последовательностью безопасного внимания». Последовательность безопасного внимания — это механизм, который предписывает пользователям нажимать CTRL + ALT + DEL перед входом в систему. Это помогает определить, что ни один кибер-хакер или программа не выдает себя за страницу входа, тем самым гарантируя вам безопасный вход.
Где находится winlogon.exe
Приложение для входа в Windows или winlogon.exe расположен в C: Windows System32 папка, где C: ваш системный диск.
Winlogon.exe — это вирус
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Многие киберпреступники имитируют подлинные системные приложения при создании вирусов или вредоносных программ, поэтому они остаются незамеченными. Таким образом, возможно, что какой-то вирус или вредоносная программа могут иметь то же имя, что и Windows Logon Application или winlogon.exe. Это можно проверить следующим образом: щелкните задачу правой кнопкой мыши и выберите Открытая локация. Исходное расположение задачи приложения для входа в Windows: C: Windows System32 (где C: ваш системный диск). Если он находится в другом месте, это вполне может быть вредоносное ПО.
В этом случае щелкните правой кнопкой мыши подозрительный файл и выберите «Свойства»> «Подробности». Там написано Microsoft или что-то еще?
Лучшим предложением было бы запустить полное сканирование системы на наличие вредоносных программ.
Winlogon.exe потребляет много ресурсов процессора
Время от времени процесс может потреблять много ресурсов ЦП или других ресурсов. Если вы часто сталкиваетесь с этой проблемой, запустите средство проверки системных файлов в безопасном режиме.
Могу ли я отключить приложение для входа в Windows
Хотя я не вижу причин для кого-либо отключать приложение для входа в Windows, завершение процесса приведет к сбою вашей системы. Этот процесс важен для системы и должен выполняться постоянно.
Если вы попытаетесь положить конец winlogon.exe процесса, система выдаст предупреждение, в котором говорится: «Windows приведет к невозможности использования или выключению Windows». Если вы продолжите, несмотря на предупреждение, система отключится, и единственный способ восстановить ее — это выключить и перезапустить.
Если системе не удается загрузить файл winlogon.exe при следующем запуске, вы получите сообщение об ошибке синего экрана 0xC000021A. Если вы уже совершили ошибку, следуйте этому руководству, чтобы исправить ошибку STOP 0XC000021A, STATUS SYSTEM PROCESS TERMINATED.
Поверьте, это помогает!
.
Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)
Источник: okzu.ru
Что такое приложение для входа в Windows (winlogon.exe) и почему оно работает на моем компьютере?
Процесс winlogon.exe является важной частью операционной системы Windows. Этот процесс всегда выполняется в фоновом режиме в Windows и отвечает за некоторые важные системные функции.
Эта статья является частью наша текущая серия объяснение различных процессов в диспетчере задач, например svchost.exe , dwm.exe , ctfmon.exe , mDNSResponder.exe , rundll32.exe , Adobe_Updater.exe , а также многие другие . Не знаете, что это за услуги? Лучше начни читать!
Что такое приложение для входа в Windows?
Процесс winlogon.exe является очень важной частью операционной системы Windows, и без него Windows будет невозможно использовать.
Этот процесс выполняет множество критических задач, связанных с процессом входа в Windows. Например, когда вы входите в систему, процесс winlogon.exe отвечает за загрузку вашего профиля пользователя в реестр . Это позволяет программам использовать ключи под HKEY_CURRENT_USER, которые различны для каждой учетной записи пользователя Windows.
Winlogon.exe имеет специальные перехватчики в системе и следит за нажатием Ctrl + Alt + Delete. Это известно как «последовательность безопасного внимания», и поэтому некоторые ПК могут быть настроены на требует, чтобы вы нажали Ctrl + Alt + Delete перед входом в систему. Winlogon.exe всегда перехватывает эту комбинацию сочетаний клавиш, что гарантирует, что вы входите в систему на защищенном рабочем столе, где другие программы не могут отслеживать вводимый вами пароль или выдавать себя за диалоговое окно входа.
Приложение для входа в Windows также отслеживает ваши действия с клавиатурой и мышью и отвечает за блокировку вашего ПК и запуск хранители экрана после периода бездействия.
Таким образом, Winlogon является важной частью процесса входа в систему и должен продолжать работать в фоновом режиме. Microsoft также предоставляет более подробный технический список Обязанности Winlogon , если тебе интересно.
Могу ли я отключить это?
Вы не можете отключить этот процесс. Это важная часть Windows, и она должна работать постоянно. В любом случае нет причин отключать его, поскольку он просто использует крошечный объем ресурсов в фоновом режиме для выполнения критически важных системных функций.
Если вы попытаетесь завершить процесс из диспетчера задач, вы увидите сообщение о том, что завершение процесса «приведет к невозможности использования или выключению Windows». Если вы пропустите это сообщение, ваш экран станет черным, и ваш компьютер даже не ответит на Ctrl + Alt + Delete. За обработку Ctrl + Alt + Delete отвечает процесс winlogon.exe, поэтому после его остановки восстановление сеанса невозможно. Чтобы продолжить, вам нужно перезагрузить компьютер.
Windows всегда запускает этот процесс при запуске компьютера. Если Windows не может запустить winlogon.exe, csrss.exe , или другие важные процессы пользовательской системы, ваш компьютер синий экран с кодом ошибки 0xC000021A .
Может быть, это вирус?
Это нормально, что в вашей системе всегда запущен процесс winlogon.exe. Настоящий файл winlogon.exe находится в каталоге C: Windows System32 вашей системы. Чтобы убедиться, что настоящее приложение для входа в Windows запущено, щелкните его правой кнопкой мыши в Диспетчер задач и выберите «Открыть расположение файла».
Файловый менеджер должен открыться в каталоге C: Windows System32, содержащем файл winlogon.exe.
Если кто-то сказал вам, что файл winlogon.exe, расположенный в C: Windows System32, является вредоносным, это обман. Это законный файл, и его удаление повредит вашу установку Windows.
Мошенники техподдержки указали на winlogon.exe и другие критические системные процессы и сказали: «Если вы видите, что это работает на вашем компьютере, у вас есть вредоносная программа». На каждом компьютере работает приложение для входа в Windows, и это нормально. Не поддавайтесь их мошенничеству!
С другой стороны, если вы видите файл winlogon.exe, расположенный в любом другом каталоге, у вас проблема. Вирус или другое вредоносное ПО может маскироваться под этот процесс, пытаясь скрыться в фоновом режиме. Еще одним предупреждающим знаком является высокая загрузка ЦП или памяти из winlogon.exe, поскольку в обычных ситуациях этот процесс не должен использовать много ЦП или памяти.
Если вы видите файл winlogon.exe в другом каталоге или вас просто беспокоит, что на вашем компьютере запущено вредоносное ПО, вам следует запустить полное сканирование системы с помощью предпочтительное антивирусное программное обеспечение . Ваша программа безопасности удалит все найденные вредоносные программы.
What Is Windows Logon Application (winlogon.exe), And Why Is It Running On My PC?
Источник: www.thefastcode.com