формати файлів

процес WINLOGON.EXE

WINLOGON.EXE - це процес, без якого неможливий запуск ОС Windows і її подальше функціонування. Але іноді під його личиною криється вірусна загроза. Давайте розберемося, в чому полягають завдання WINLOGON.EXE і яка небезпека може виходити від нього.

Відомості про процес

Даний процес можна завжди побачити, запустивши «Диспетчер завдань» у вкладці «Процеси».

Процес WINLOGON.EXE в диспетчері завдань Windows

Які ж функції він виконує і навіщо потрібен?

Основні завдання

Перш за все, зупинимося на основних завданнях даного об'єкта. Його першочерговим функцією є забезпечення входу в систему, а також виходу з неї. Втім, це неважко зрозуміти навіть з самого його найменування. WINLOGON.EXE називають також програмою входу в систему. Вона відповідає не тільки за сам процес, а й за діалог з користувачем під час процедури входу через графічний інтерфейс. Власне, заставки при вході і виході з Windows, а також вікно при зміні поточного користувача, які ми бачимо на екрані, є продуктом діяльності зазначеного процесу. У коло відповідальності WINLOGON входить відображення поля для введення пароля, а також перевірка достовірності введених даних, якщо вхід в систему під конкретним ім'ям користувача запаролено.

Запускає WINLOGON.EXE процес SMSS.EXE (Диспетчер сеансу). Він продовжує функціонувати в тлі протягом усього сеансу. Після цього вже сам активоване WINLOGON.EXE запускає LSASS.EXE (Сервіс перевірки автентичності локальної системи безпеки) і SERVICES.EXE (Диспетчер управління службами).

Для виклику активного вікна програми WINLOGON.EXE, в залежності від версії Віндовс, застосовуються поєднання Ctrl + Shift + Esc або Ctrl + Alt + Del. Також додаток активує вікно при запуску користувачем виходу з системи або при гарячої перезавантаження.

Завершення роботи системи через меню Пуск в Windows

При аварійному чи примусовому завершення WINLOGON.EXE різні версії Windows реагують по-різному. У більшості випадків це призводить до синього екрану. Але, наприклад, в Windows 7 відбувається тільки вихід із системи. Найбільш частою причиною аварійної зупинки процесу є переповненість диска C. Після його очищення, як правило, програма входу в систему працює нормально.

Розміщення файлу

Тепер давайте з'ясуємо, де фізично розміщений файл WINLOGON.EXE. Це нам в майбутньому знадобиться для відмежування даного об'єкта від вірусного.

  1. Для того, щоб визначити місце розташування файлу за допомогою Диспетчера завдань, перш за все потрібно переключитися в ньому в режим відображення процесів всіх користувачів, зробивши натиск на відповідну кнопку.

    2. Функція переходу в режим відображення процесів всіх користувачів в диспетчері завдань Windows

  2. Після цього натискаємо правою кнопкою мишки по найменуванню елемента. У розкрився переліку вибираємо «Властивості».

    3. Перехід в властивості процесу WINLOGON.EXE через контекстне меню в диспетчері завдань Windows

  3. У вікні властивостей перейдіть у вкладку «Загальні». Навпроти напису «Розташування» знаходиться адресу розміщення шуканого файлу. Практично завжди цю адресу наступний:

    C:WindowsSystem32

    Місце розташування файлу WINLOGON.EXE у вікні властивостей процесу

    У дуже рідкісних випадках процес може посилатися на наступну директорію:

    C:Windowsdllcache

    Крім цих двох директорій більше ніде розміщення шуканого файлу неможливо.

Крім того, з Диспетчера завдань існує можливість перейти в безпосереднє місце розташування файлу.

  1. У режимі відображення процесів всіх користувачів клацніть по елементу правою кнопкою миші. У контекстному меню виберіть «Відкрити місце зберігання файлу».

    2. Перехід в в місце розташування файлу WINLOGON.EXE через контекстне меню в диспетчері завдань Windows

  2. Після цього відкриється Провідник в тій директорії вінчестера, де розташований шуканий об'єкт.

Місце зберігання файлу WINLOGON.EXE у вікні Провідника Windows

Підміна шкідливою програмою

Але іноді спостерігається в диспетчері завдань процес WINLOGON.EXE може виявитися шкідливою програмою (вірусом). Подивимося, як відрізнити справжній процес від підробленого.

  1. Перш за все, потрібно знати, що в диспетчері завдань може бути тільки один процес WINLOGON.EXE. Якщо ви спостерігаєте більше, то один з них вірус. Зверніть увагу, щоб навпроти досліджуваного елемента в полі «Користувач» стояло значення «Система» ( «SYSTEM»). Якщо процес запускається від імені будь-якого іншого користувача, наприклад від імені поточного профілю, то можна констатувати факт, що ми маємо справу з вірусною активністю.

    2. Ім'я користувача процесу WINLOGON.EXE в диспетчері завдань Windows

  2. Також перевірте місце розташування файлу будь-яким з тих способів, які були вказані вище. Якщо воно відрізняється від тих двох варіантів адрес для даного елемента, які допускаються, то, знову ж таки, перед нами вірус. Досить часто вірус знаходиться в корені каталогу «Windows».

    3. Вірус WINLOGON.EXE розміщений в папці Windows

  3. Вашу настороженість повинен викликати факт високого рівня використання ресурсів системи даним процесом. У нормальних умовах він практично неактивний і активізується тільки в момент входу / виходу з системи. Тому споживає вкрай мало ресурсів. Якщо WINLOGON починає вантажити процесор і споживати велику кількість оперативки, то ми маємо справу або з вірусом або з якимось збоєм в системі.

    4. Споживання ресурсів процесом WINLOGON.EXE в диспетчері завдань Windows

  4. Якщо хоча б один з перерахованих підозрілих ознак є в наявності, то скачайте і запустіть на ПК лікує утиліту Dr.Web CureIt . Вона просканує систему і в разі виявлення вірусів зробить лікування.

    5. Сканування системи антивірусною утилітою Dr.Web CureIt

  5. Якщо утиліта не допомогла, але ви бачите, що об'єктів WINLOGON.EXE в диспетчері завдань два або більше, то зупиніть той об'єкт, який не відповідає стандартам. Для цього клацніть по ньому правою кнопкою миші і виберіть «Завершити процес».

    6. Перехід до завершення процесу WINLOGON.EXE через контекстне меню в диспетчері завдань Windows

  6. Відкриється маленьке віконце, де ви повинні будете підтвердити свої наміри.

    7. Підтвердження завершення процесу WINLOGON.EXE в диспетчері завдань Windows

  7. Після того, як процес завершений, перейдіть в папку розташування того файлу, на який він посилався, клацніть по цьому файлу правою кнопкою мишки і виберіть в меню «Видалити». Якщо система того зажадає, підтвердіть свої наміри.

    8. Видалення вірусного файлу WINLOGON.EXE за допомогою контекстного меню в Провіднику Windows

  8. Після цього почистіть реєстр і повторно перевірте комп'ютер утилітою, так як досить часто файли такого типу завантажуються за допомогою команди з реєстру, прописаної вірусом.

    Якщо не вдається зупинити процес або знести файл, то зайдіть в систему в безпечному режимі відповідно до процедури видалення.

Як бачимо, WINLOGON.EXE грає важливу роль у функціонуванні системи. Він безпосередньо відповідає за вхід і за вихід з неї. Хоча, майже що весь час, поки користувач працює на ПК, зазначений процес знаходиться в пасивному стані, але при його примусовому завершення продовження роботи в Віндовс стає неможливим. Крім того, існують віруси, які мають аналогічне ім'я, маскуючись під даний об'єкт. Їх важливо в максимально короткі терміни обчислити і знищити.