C windows system32 wininit exe что это - Windowsa.top - ваш верный помощник с OS Windows

Уровень сложностиПростой

Время на прочтение12 мин

Количество просмотров30K

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Я искренне приношу извинения за возможные неточности в изложении материала, информация в этой статье является «сборной солянкой» из моих слов и тысячи и тысячи источников!
По мере возможности я постараюсь обновлять материал, исправляя неточности, делая его более детализированным и актуальным.

System

Путь: Процесс не создается за счет исполняемого файла
Родительский процесс: Нет
Количество экземпляров: Один
Время запуска: Запуск системы

Здесь многословить не стоит: этот процесс отвечает за выполнение ядра операционной системы, других процессов и драйверов устройств, поэтому в основном под ним запускаются файлы .sys и некоторые важные для системы библиотеки. В обязанности System входит контроль за управлением оперативной и виртуальной памятью, объектами файловой системы.

smss.exe

Путь: %SystemRoot%\System32\smss.exe
Родительский процесс: System
Количество экземпляров: Один и дочерний, который запускается после создания сеанса
Время запуска: Через несколько секунд после запуска первого экземпляра

Session Manager Subsystem — диспетчер, отвечающий за создание новых сеансов, запуск процессов csrss.exe и winlogon.exe, отвечающих за графический интерфейс и вход в систему, а также за инициализацию переменных окружения. Первый экземпляр создает сеанс нуля и дочерний экземпляр, и как только дочерний экземпляр инициализирует новый сеанс, запуская csrss.exe и wininit.exe для сеанса 0 или winlogon.exe для сеанса 1, дочерний экземпляр завершается.

Если обнаружены проблемы с файловой системой, первостепенной функцией smss.exe является запуск системной утилиты для проверки диска — autochk.
После выполнения этих задач smss.exe переходит в пассивный режим.

Немного о сеансе 0 и сеансе 1

Сеанс 0 и сеанс 1 — это разные типы сеансов Windows, которые используются для запуска процессов.
Сеанс 0 создается при запуске системы, и в нем в фоновом режиме работают службы и процессы Windows.
Сеанс 1 создается для пользовательских процессов.

Chkdsk и autochk — что это вообще, и зачем? А разница в чем?

На самом деле, autochk — это версия chkdsk, которая запускается автоматически smss.exe при обнаруженных проблемах с диском. А разница их в том, что chkdsk можно запустить в среде Windows напрямую из командной строки, а autochk — нет.
Да и autochk работает только с NTFS, что не скажешь про chkdsk — он, в дополнение к NTFS, поддерживает FAT и exFAT.

Кстати!
По сути, chkdsk тоже может запускаться smss.exe, но это зависит от того, что указано в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager (здесь хранится информация, предназначенная для Диспетчеpa сеансов ) в параметре BootExecute). При запуске chkdsk Диспетчер сеансов использует параметр /r , что позволяет утилите производить поиск повреждённых секторов (наряду с ошибками файловой системы).

csrss.exe

Путь: %SystemRoot%\System32\csrss.exe
Родительский процесс: smss.exe, который, запустив csrss.exe, завершает работу
Количество экземпляров: Два или больше
Время запуска: Через несколько секунд после запуска первых двух экземпляров — для сеанса 0 и сеанса 1

Client/Server Run-Time Subsystem — подсистема выполнения «клиент/сервер» обеспечивает пользовательский режим подсистемы Windows. Csrss.exe отвечает за импорт многих DLL-библиотек, которые предоставляют WinAPI (kernel32.dll, user32.dll, ws_2_32.dll и другие), а также за обработку графического интерфейса завершения работы системы.
Процесс запускается для каждого сеанса, а именно 0 и 1, дополнительные сеансы создаются при помощи удаленного рабочего стола или за счет быстрого переключения между пользователями.

Что интересно для Windows Server

Можно проверить количество активных сеансов, введя query SESSION в командной строке. Так можно проверить, соответствует ли количество сеансов количеству запущенных csrss.exe.

И еще..

До Windows 7 csrss.exe обеспечивал старт окна консоли, но теперь этим занимается conhost.exe.

wininit.exe

Путь: %SystemRoot%\System32\wininit.exe
Родительский процесс: smss.exe, который завершает работу перед запуском wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

После получения управления от процесса smss.exe, wininit.exe помечает себя как критический, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию. Целью Windows Initialisation (wininit.exe) является запуск ключевых фоновых процессов в рамках сеанса нуля. Он запускает:

services.exe — Диспетчер управления службами
lsass.exe — Сервер проверки подлинности локальной системы безопасности
lsaiso.exe — для систем с включенной Credential Guard.

Дополнительно на протяжении всего сеанса работы системы wininit.exe отвечает за создание и наполнение папки TEMP. Перед выключением wininit.exe снова «активизируется» — теперь уже для корректного завершения запущенных процессов. .

Кстати!

До Windows 10 lsm.exe (Диспетчер локальных сеансов) также запускался с помощью wininit.exe. Начиная с Windows 10, эта функция перенесена в lsm.dll, которая размещена в svchost.exe.

services.exe

Путь: %SystemRoot%\System32\services.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

В функции services.exe входит реализация Унифицированного диспетчера фоновых процессов (UBPM), который отвечает за фоновую работу таких компонентов, как Диспетчер управления службами (SCM) и Планировщик задач (Task Sheduler). Словом, services.exe отвечает за управление службами, а также за контроль за взаимодействием служб, обеспечивая их безопасную и эффективную работу.

UBPM: немного для тех, кто видит первый раз

Унифицированный диспетчер фоновых процессов (UBPM) — компонент системы, который автоматически управляет фоновыми процессами, такими как службы и запланированные задачи. Словом, он помогает оптимизировать запущенные в фоновом режиме службы, приостанавливать или завершать фоновые процессы, что позволяет экономить ресурсы системы.

Кстати!

До Windows 10, как только пользователь успешно вошел в систему в интерактивном режиме, services.exe считал загрузку успешной и устанавливал для последнего удачного набора элементов управления HKLM\SYSTEM\Select\LastKnownGood значение CurrentControlSet.

А LastKnownGood — что это вообще?

LastKnownGood являлся опцией восстановления, благодаря которой можно запустить систему с последней рабочей конфигурацией, если система не может загрузиться из-за каких-либо причин. LastKnownGood сохранял резервную копию части реестра, в которой хранится информация о системе, драйверах и настройках.

Когда это могло пригодиться? Например, если загрузка нового ПО или изменение параметров системы не привело ни к чему хорошему. Тогда можно было бы использовать эту опцию, чтобы отменить изменения и откатиться к прошлому состоянию.

svchost.exe

Путь: %SystemRoot%\system32\svchost.exe
Родительский процесс: services.exe (чаще всего)
Количество экземпляров: Несколько (обычно не менее 10)
Время запуска: В течение нескольких секунд после загрузки, однако службы могут запускаться в течение работы системы, что приводит к появлению новых экземпляров svchost.exe.

svchost.exe (в Диспетчере задач прописывается как Служба узла) — универсальный хост-процесс для служб Windows, использующийся для запуска служебных DLL. В системе запускается несколько экземпляров svchost.exe, и каждая служба работает в своем собственном процессе svchost, что позволяет изолировать ошибки в работе одной службы от других, хотя в системах с ОЗУ менее 3,5 ГБ службы приходится группировать (см. ниже). Ну а в системах с оперативной памятью более 3,5 ГБ можно увидеть даже более 50 экземпляров svchost.exe.

Злоумышленники часто пользуются преимуществом наличия большого количества процессов svchost.exe, и могут воспользоваться этим, чтобы разместить какую-либо вредоносную DLL в качестве службы, либо запустить вредоносный процесс с именем svchost.exe или что-то типа scvhost.exe, svhost.exe и так далее.
Хотя, как известно, так можно сделать с любым процессом, но с svchost.exe это происходит почаще.

Кстати!

До Windows 10 версии 1703 экземпляры svchost.exe по умолчанию запускались в системе с уникальным параметром -k, благодаря которому была возможна группировка похожих служб. Типичные параметры -k включают:

DcomLaunch — служба, которая запускает компоненты COM и DCOM, благодаря которым программы взаимодействуют между собой на удаленных компьютерах

RPCSS — служба RPC (удаленный вызов процедур), благодаря которой программы взаимодействуют между собой через сеть.

LocalServiceNetworkRestricted — локальная служба, которая работает в пределах компьютера и имеет доступ к сети только для определенных операций.

LocalServiceNoNetwork — локальная служба, идентичная LocalServiceNetworkRestricted, но не имеющая доступа к сети.

netsvcs — группа служб Windows, благодаря которым выполняются задачи, связанные с сетью.

NetworkService — служба, которая позволяет выполнять задачи на удаленных хостах, и имеет доступ к сети для обмена данными.

Здесь можно почитать о разделении служб SvcHost.

RuntimeBroker.exe

Путь: %SystemRoot%\System32\RuntimeBroker.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Работающий в системах Windows, начиная с Windows 8, RuntimeBroker.exe действует как прокси между ограниченными приложениями универсальной платформы Windows (UWP) и набором функций и процедур Windows API. В целях безопасности приложения UWP должны иметь ограниченные возможности взаимодействия с оборудованием, файловой системой и другими процессами, поэтому процессы-брокеры а-ля RuntimeBroker.exe используются для обеспечения требуемого уровня доступа для таких приложений.

Обычно для каждого приложения UWP существует один файл RuntimeBroker.exe. Например, запуск сalculator.exe приведет к запуску соответствующего процесса RuntimeBroker.exe.

И такое было: об утечках памяти, связанных с RuntimeBroker

Когда процесс RuntimeBroker еще был в новинку, пользователи во время работы с системой начали замечать, что RuntimeBroker.exe нещадно занимает аж более 500 МБ памяти, что несвойственно для него.
Оказывается, ошибка заключалась в следующем: каждый вызов метода TileUpdater.GetScheduledTileNotifications приводила к тому, что RuntimeBroker выделял память без ее дальнейшего высвобождения. Чаще всего с этим сталкивались пользователи, у которых было установлено приложение «The Time» для измерения времени — оно постоянно обновляло информацию на плитке.

Об этом казусе в Windows 8 можно почитать тут.

Про метод TileUpdater.GetScheduledTileNotifications

Если кратко, это метод, позволяющий получать запланированные уведомления от плиток в универсальных приложениях Windows (UWP). Он позволяет приложениям отображать информацию на стартовом экране пользователя в виде динамически обновляемых плиток.

Те самые «плитки» в Windows 8

taskhostw.exe

Путь: %SystemRoot%\System32\taskhostw.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Процесс Task Host Window отвечает за выполнение различных задач Windows.
С началом работы, taskhostw.exe начинает выполнять задачи, которые были назначены ему системой, а в течение работы системы выполняет непрерывный цикл прослушивания триггерных событий. Примеры триггерных событий, которые могут инициировать задачу, могут включать в себя:

Определенное расписание задач
Вход пользователя в систему
Запуск системы
Событие журнала Windows
Блокировка/ разблокировка рабочей станции и т.д.

Двое из ларца: В чем разница между Task Host Window и Task Scheduler?

Task Host Window отвечает за выполнение различных системных задач, например, запуск служб и выполнение запросов на исполнение программ. Taskhostw.exe может использоваться для запуска службы обновления Windows, перехода компьютера в режим сна или ожидания после определенного времени и так далее.

Task Sheduler, он же Планировщик задач, — инструмент, благодаря которому пользователь имеет возможность создавать задачи и запускать их по расписанию или при определенных событиях. Планировщик задач может быть использован для запуска программ, скриптов и автоматизации задач.

lsass.exe

Путь: %SystemRoot%\System32\lsass.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: В течение нескольких секунд после загрузки

Local Security Authentication Subsystem Service (Служба проверки подлинности локальной системы безопасности) отвечает за аутентификацию пользователей путем вызова соответствующего пакета аутентификации, указанного в HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Обычно это Kerberos для учетных записей домена или MSV1_0 для локальных учетных записей. Помимо аутентификации пользователей, lsass.exe также отвечает за реализацию локальной политики безопасности (например, политики паролей и политики аудита), а также за запись событий в журнал событий безопасности.

Что любят котята: Mimikatz и LSASS

Многим известно, что злоумышленники могут использовать Mimikatz, зачастую для перехвата учетных данных в операционной системе, и делают они это за счет перехвата данных процесса lsass.exe.
Все просто: работает Mimikatz на уровне ядра и внедряется в процесс LSASS или использует метод DLL-injection. Кража учетных данных происходит либо за счет получения доступа к памяти процесса, в котором лежат заветные креды, либо за счет перехвата вызова функций до шифрования учетных данных.
Также Mimikatz не пренебрегает использованием стандартных функций Win32 LsaProtectMemory и LsaUnprotectMemory, которые используются для шифрования и расшифровки некоторых участков памяти с чувствительной информацией.

Чуть больше об lsass.exe можно прочитать тут.
И о любви котят к LSASS — тут.

winlogon.exe

Путь: %SystemRoot%\System32\winlogon.exe
Родительский процесс: smss.exe, который, запустив winlogon.exe, завершает работу
Количество экземпляров: Один или больше
Время запуска: В течение нескольких секунд после загрузки первого экземпляра, дополнительные экземпляры запускаются по мере создания новых сеансов (подключение с удаленного рабочего стола и быстрое переключение пользователей)

Winlogon обрабатывает интерактивный вход и выход пользователей из системы. Он запускает LogonUI.exe, который использует поставщика учетных данных для сбора учетных данных пользователя, а затем передает учетные данные lsass.exe для проверки.
После аутентификации пользователя Winlogon загружает NTUSER.DAT пользователя в HKCU, настраивает окружение пользователя, включая его рабочий стол, настройки реестра и т.д., и запускает оболочку пользователя explorer.exe через userinit.exe.

Совсем чуть-чуть об logonUI.exe

Да, название говорит само за себя: logonUI.exe отвечает за отображение экрана входа пользователя и за взаимодействие с пользователем при входе в систему. Если просто, то вывод того самого экрана входа и поля для ввода учетных данных — старания logonUI.exe.

..И об userinit.exe

Основная функция userinit.exe заключается в подготовке среды пользователя для работы в операционной системе.
Когда пользователь входит в систему, userinit.exe инициирует загрузку профиля пользователя, настройки оболочки (шаблоны рабочего стола, запуск программ и т.д.). После выполнения сих действий, userinit.exe запускает оболочку пользователя explorer.exe, которая отображает рабочий стол и другие элементы интерфейса, после чего завершает работу.

Кстати!

Обработка команд из CTRL+ALT+DEL, между прочим, тоже входит в обязанности winlogon.exe.
А тут можно почитать о Winlogon еще и узнать чуть больше — и про его состояния, и про GINA, и про все-все.

explorer.exe

Путь: %SystemRoot%\explorer.exe
Родительский процесс: userinit.exe, который завершает работу
Количество экземпляров: Один или больше, если включена опция Запускать окна с папками в отдельном процессе
Время запуска: Интерактивный вход пользователя

По своей сути, explorer.exe предоставляет пользователям доступ к файлам, хотя одновременно это файловый браузер через проводник Windows (тот самый Диспетчер файлов) и пользовательский интерфейс, предоставляющий такие функции, как:

Рабочий стол пользователя
Меню «Пуск»
Панель задач
Панель управления
Запуск приложений через ассоциации расширений файлов и файлы ярлыков

Словом, процесс отвечает за отображение действий пользователя: открытие и закрытие окон, перемещение и копирование файлов и тому подобное.

Запуск приложений через ассоциации расширений файлов

По сути, это процесс, при котором система использует информацию о расширении имени файла (например, .txt) для определения программы, которая будет запущена, чтобы обработать этот файл. Например, файл расширения .txt ассоциируется в системе с текстовым редактором, потому она запустит его при двойном щелчке мышью. Словом, ассоциации расширений файлов определяют, какие программы открываются по умолчанию для определенных типов файлов.

Также и с ярлыками — при щелчке запускается связанные с ними ресурсы.

Explorer.exe — это пользовательский интерфейс по умолчанию, указанный в значении реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell, хотя Windows может работать и с другим интерфейсом, например, с cmd.exe.
Следует заметить, что легитимный explorer.exe находится в каталоге %SystemRoot%, а не %SystemRoot%\System32.

Explorer — это же браузер, нет?

В старые добрые времена, когда на системах еще стоял Internet Explorer, запуск этого браузера инициировал процесс iexplore.exe, и с каждой новой вкладкой создавался новый экземпляр этого процесса. Сейчас остался только explorer.exe, который ни в коем случае не связан с браузером.
Вместо Internet Explorer на наших системах стоит MS Edge, который имеет процесс msedge.exe, исполняемый файл которого лежит в \Program Files (x86)\Microsoft\Edge\Application\.

ctfmon.exe

Путь: %SystemRoot%\System32\ctfmon.exe
Родительский процесс: Зависит от того, какой процесс запустил ctfmon.exe
Количество экземпляров: Один
Время запуска: При входе в систему

Процесс ctfmon.exe или, как привыкли его видеть, CTF-загрузчик, управляет функциями рукописного и сенсорного ввода, распознавания голоса и переключения языка на панели задач. Также процесс отслеживает активные программы и настраивает языковые параметры для обеспечения поддержки многоязычного ввода.
Ctfmon.exe может быть запущен разными процессами, и это напрямую зависит от того, какие функции ввода или языка используются в системе. Примеры родительских процессов и причины запуска:

svchost.exe — использование рукописного ввода или распознавания речи
winword.exe, excel.exe и т.д. — использование программ пакета Microsoft Office
searchUI.exe — использование поиска на панели задач или приложения из магазина Windows 10

Конечно, это не исчерпывающий список легитимных процессов, но, как минимум, основной. Хочется верить, что этот материал был полезен тем, кто пугается страшных букв в Диспетчере задач и тем, кто просто хочет узнать немного больше.
Спасибо за прочтение!

Источник

Все способы:

Сведения о процессе
- Описание
- Основные функции
- Расположение файла
- Идентификация файла
- Устранение угрозы
Вопросы и ответы: 0

WININIT.EXE – системный процесс, который включается при запуске операционной системы.

Сведения о процессе

Далее рассмотрим цели и задачи данного процесса в системе, а также некоторые особенности его функционирования.

Описание

Визуально он отображается во вкладке «Процессы» Диспетчера задач. Принадлежит к системным процессам. Поэтому, чтобы его найти, надо поставить галочку в «Отображать процессы всех пользователей».

Можно посмотреть сведения об объекте, нажав на «Свойства» в меню.

Окно с описанием процесса.

Основные функции

Перечислим задачи, которые последовательно выполняет процесс WININIT.EXE при старте операционной системы:

В первую очередь, он присваивает самому себе статус критического процесса, чтобы избежать аварийного завершения системы при ее выходе на отладку;
Приводит в действие процесс SERVICES.EXE, который отвечает за управление службами;
Запускает поток LSASS.EXE, который расшифровывается как «Сервер проверки подлинности локальной системы безопасности». Он ответственен за авторизацию локальных пользователей системы;
Включает службу диспетчера локальных сеансов, который отображается в Диспетчере задач под названием LSM.EXE.

Под деятельность данного процесса также попадает создание папки TEMP в системной папке. Важным свидетельством критичности этого WININIT.EXE является уведомление, которое выводится при попытке завершить процесс при помощи Диспетчера задач. Как можно увидеть, без WININIT система не может корректно функционировать.

Тем не менее, этот прием можно отнести к еще одному способу завершить работу системы в случае ее зависания или возникновения других аварийных ситуаций.

Расположение файла

WININIT.EXE располагается в папке System32, которая, в свою очередь, находится в системной директории Windows. В этом можно убедиться, нажав «Открыть место хранения файла» в контекстном меню процесса.

Местоположение файла процесса.

Полный путь к файлу выглядит следующим образом:
C:\Windows\System32

Идентификация файла

Известно, что под данным процессом может маскироваться вирус W32/Rbot-AOM. При заражении он подключается к серверу IRC, откуда ждет команд.

Как правило, вирусный файл проявляет высокую активность. В то время как, настоящий процесс находится чаще всего в режиме ожидания. Это является признаком установления его подлинности.

Другим признаком для идентификации процесса может послужить расположение файла. Если при проверке окажется, что объект ссылается на иное расположение, чем вышеуказанное, то это скорее всего вирусный агент.

Можно также вычислить процесс по принадлежности к категории «Пользователи». Настоящий процесс всегда запускается от имени «Системы».

Устранение угрозы

При возникновении подозрения на заражение необходимо скачать Dr.Web CureIt. Затем нужно запустить сканирование всей системы.

Далее запускаем проверку, щелкнув «Начать проверку».

Так выглядит окно сканирования.

При детальном рассмотрении WININIT.EXE мы выяснили, что он является критически важным процессом, который отвечает стабильную работу при старте системы. Иногда может случится так, что процесс подменяется вирусным файлом, и в таком случае нужно оперативно устранять потенциальную угрозу.

Наша группа в TelegramПолезные советы и помощь

Источник

Если вы обратили внимание на процесс wininit.exe в диспетчере задач Windows 11/10 и интересуетесь, что это и не является ли он вирусом, или же обратили внимание на то, что wininit инициирует выключение или перезагрузку компьютера и хотите выяснить, в чём дело — ниже в статье описание процесса, файла и дополнительная информация на тему.

Назначение процесса wininit.exe

WinInit.exe — системный процесс Windows, который запускается на этапе загрузки системы другим процессом, smss.exe. Сам же wininit запускает такие процессы как services.exe для запуска служб, lsasss.exe, lsm.exe, winlogon.exe — иначе говоря, другие системные процессы, подготавливающие систему к работе и входу в неё.

Таким образом, файл wininit.exe не является вирусом, при условии, что расположен в системной папке C:\Windows\System32\, проверить расположение вы можете, нажав правой кнопкой мыши по процессу в диспетчере задач и выбрав пункт «Открыть расположение файла». Удалить этот файл без последствий нельзя.

Дополнительная информация

В большинстве случаев процесс не вызывает высокой нагрузки на процессор и не потребляет много памяти, однако есть пара нюансов, которые следует отметить:

Если при необходимости работы без выключения ваш компьютер сам выключается или перезагружается, а в просмотре событий вы видите информацию «Процесс wininit.exe инициировал действие Перезапустить для компьютера» или «Процесс wininit.exe инициировал действие Выключение питания для компьютера», то для домашних компьютеров чаще всего проблема вызвана сторонними сервисами и фоновыми процессами (особенно в случае таких выключений ночью или рано утром), обычно — инструментами обновлений программ, иногда — задачами в планировщике заданий. Можно попробовать проверить, сохраняется ли проблема, если выполнить чистую загрузку системы. В некоторых случаях причиной может оказаться и наличие вредоносного ПО на компьютере.
В некоторых случаях перезагрузка/выключение, инициированное wininit.exe может быть вызвана завершение других сторонних процессов, например, lsass.exe, по причине каких-либо сбоев (на всякий случай попробуйте обновить ОС или, если проблема возникла после недавних обновлений — откатить их).
Если в просмотре событий Windows вы обнаружите предупреждения wininit.exe, связанные с загрузкой DLL библиотек, обратите внимание на параметр AppInit_DLLs (по умолчанию — с пустым содержимым) в разделе реестра
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
```
При наличии указания на файлы DLL в этом параметре, имеет смысл разобраться, что это за библиотеки: этот параметр в реестре может использоваться для внедрения нежелательных библиотек вирусами и другим вредоносным ПО.

Источник

Home
News
What Is Wininit.exe and Can You Remove It

By Sarah |
Last Updated May 7, 2020

Every time when you see an unidentified process after opening Task Manager in your computer, you would be wondering what is this, can I remove it, or is it safe to remove/disable the process. In the content below, I’ll talk about wininit.

If you need to backup system, recover lost data or solve disk problems, please go to the home page and choose a suitable tool.

Task Manager, formerly known as Windows Task Manager, is a useful tool to help users control the running software, so as to optimize the computer performance. What can you see in this system monitor or start-up manager? By opening Task Manager, you can take a clear look at these things: CPU load, Windows services, name of running processes, I/O details, commit charge, logged-in users, and so on.

Wininit.exe in Task Manager

It’s not difficult to find that wininit.exe is one of the processes many people can see in their Task Manager. So what does this process mean? Should you remove it? I will explain these questions to you carefully.

What Is wininit.exe

Wininit.exe is a core system process creased by Microsoft to make operating system function properly and steadily. This process was originated in Windows XP and regarded as the Windows Start-Up Application or Windows-Startanwendung. The name ‘wininit’ stands for Windows Initialization while the extension ‘.exe’ indicates that this is an executable file.

What you all know is that Microsoft Windows is the operating system (OS). But what you may not know is that Windows Initialization is a background application launcher for the OS and wininit.exe takes the responsibility of running the Windows Initialization process.

Related reading: how do you fix when you run into an mmc.exe application error?

What is Windows Initialization?

It is actually the launcher for most background system applications that are running continuously. The %windir%\temp folder, Winlogon, starts Lsm.exe (Local Session Manager), Services.exe (Service Control Manager or SCM), and Winsta0 (window station) are all created by Windows Initialization.

What’s the function of wininit.exe?

It allows all uninstallers to run and process commands that are kept in the WinInit.ini file.
It allows necessary programs to take action when before your computer is started completely.
It works as a launcher for most of the always-running background applications.

Is wininit.exe Safe

The genuine wininit.exe you can see in your Task Manager does no harm to your system; on the contrary, it is essential in running Windows and ensuring stability. That is to say, this process itself is completely safe. You can go to check the wininit file via this path: C:\Windows\System32\wininit.exe (it’s the default location).

Warning: You can draw the conclusion easily that wininit.exe is crucial for your OS and you shouldn’t remove or disable it manually. If the wininit.exe process is ended suddenly, critical system error (maybe a BSOD) will be brought.

But what you should notice is that some malware (viruses, worms, and Trojans) can be disguised as wininit.exe to pose a security threat to your system. For instance, Artemis!25C1C6B54E1D and Trojan.Agent.AYBI are two of the viruses that have been found to be in the form of a malicious copycat disguise; the former has been found by McAfee, and the latter by BitDefender.

You should get to know the Ransomware Prevention Policy!

How to Check If the wininit.exe Is a Virus or Not

The easiest and most direct way to check the security of wininit file is to check the location.

Open file location steps:

Right click on the taskbar. (What if the taskbar is not working?)
Choose Task Manager from the menu.
Shift to Details tab.
Look through the processes to find wininit.exe.
Right click on it and choose Open file location.

If the wininit.exe is located in C:\Windows\System32 folder, it is legitimate. If it is located somewhere else, it is possible that the wininit file is a virus.

The security rating of wininit.exe is about 85% dangerous when it’s located in a subfolder of C:\Windows.
The security rating will be 82% dangerous when wininit.exe is located in a subfolder of the user’s profile folder.
The security rating will be 83% dangerous when wininit.exe is located in a subfolder of C:\Program Files.

Another way to check the security of wininit file is using security software, such as Microsoft Security Essentials. If you find your files get lost by virus attack, please take actions immediately!

About The Author

Position: Columnist

Sarah has been working as an editor at MiniTool since she graduated from university. Sarah aims at helping users with their computer problems such as disk errors and data loss. She feels a sense of accomplishment to see that users get their issues fixed relying on her articles. Besides, she likes to make friends and listen to music after work.

Источник

wininit.exe: The Windows Initialization Process

Overview

wininit.exe (Windows Initialization) is a critical system process in Microsoft Windows operating systems. It’s responsible for launching several key background processes during the system startup sequence, essentially setting the stage for the user’s session. It is one of the first user-mode processes started during boot, and it’s crucial for the proper functioning of Windows. It is not a virus, and under normal circumstances, it should never be terminated.

Origin and Purpose

wininit.exe is a legitimate Microsoft Windows file, located in the %SystemRoot%\System32 directory (typically C:\Windows\System32). Its primary purpose is to initiate the following essential processes:

services.exe (Service Control Manager — SCM): This process is responsible for managing Windows services. Services are background applications that run without user interaction, providing core operating system functionality (e.g., networking, printing, event logging). wininit.exe starts services.exe, which then loads and starts all the configured services.
lsass.exe (Local Security Authority Subsystem Service): This crucial process handles security policies, user authentication, and password changes. It’s responsible for enforcing security on the system. wininit.exe launches lsass.exe to ensure a secure environment.
lsm.exe (Local Session Manager): Before Windows Vista, this managed terminal server sessions. In modern Windows versions, it plays a smaller, yet still important, role in session management.
Creation of the \KnownDlls object directory: This directory in the object manager namespace is crucial for performance and security. It maps commonly used DLLs (Dynamic Link Libraries) into memory, preventing multiple copies from being loaded and providing a protected location for these critical system files. This helps prevent DLL hijacking attacks.

In essence, wininit.exe acts as a launchpad for the core components that make up the user-accessible Windows environment. It creates a stable and secure foundation before the user’s shell (typically explorer.exe) is started.

Is it a Virus?

No, wininit.exe itself is not a virus. It is a legitimate and essential Windows system file. However, malware can sometimes impersonate legitimate system processes to hide from detection. This is known as process masquerading.

Can it Become a Virus?

wininit.exe itself cannot «become» a virus. However, it can be replaced by a malicious file with the same name. Here’s how to distinguish between the legitimate wininit.exe and a potential imposter:

File Location: The legitimate wininit.exe must reside in the %SystemRoot%\System32 directory. If you find a file named wininit.exe in any other location (e.g., the Downloads folder, a temporary directory, or a user profile folder), it is highly suspicious and should be scanned with reputable anti-malware software.
Digital Signature: The legitimate wininit.exe is digitally signed by Microsoft. You can check the digital signature by:
1. Right-clicking on the wininit.exe file.
2. Selecting «Properties.»
3. Navigating to the «Digital Signatures» tab.
4. You should see a signature from «Microsoft Windows.» If there’s no signature, or the signature is from a different entity, it’s likely a malicious file.
File Size and Hash: While file size can be manipulated, it’s another data point to consider. You can compare the file size of the suspicious wininit.exe with a known good copy from a clean Windows installation (using the same Windows version). More reliably, you can calculate the file’s hash (e.g., SHA256) and compare it to known good hashes available online (though reliable sources for system file hashes are not always readily available). Malware analysis websites often provide hashes of known malicious files.
System Behavior: Unusual system behavior, such as high CPU usage by a process claiming to be wininit.exe (though wininit.exe itself should have minimal resource usage after the initial boot phase), slow performance, unexpected network activity, or system instability, could indicate a malware infection.
Process Explorer: Tools like Process Explorer (from Sysinternals, now part of Microsoft) can provide detailed information about running processes, including their file paths, digital signatures, and parent processes. This is a powerful way to verify the legitimacy of wininit.exe. It allows you to see that wininit.exe is started by smss.exe (Session Manager Subsystem) and that it is the parent process of services.exe, lsass.exe, and lsm.exe.

Usage (as a Tool)

wininit.exe is not a tool that is directly used or manipulated by users or system administrators. It runs automatically during the boot process and does not have any command-line options or user interface. Attempting to interact with wininit.exe directly is unnecessary and potentially dangerous. Terminating wininit.exe will result in a Blue Screen of Death (BSOD) with the error code 0xC000021A (STATUS_SYSTEM_PROCESS_TERMINATED), indicating a critical system failure. This is because terminating wininit.exe also terminates its child processes, including lsass.exe and services.exe, which are essential for the system to function.

Troubleshooting

While you cannot directly «troubleshoot» wininit.exe, problems with wininit.exe often manifest as issues with the processes it launches. Here are some general troubleshooting steps related to potential wininit.exe problems:

System File Checker (SFC): If you suspect file corruption, run the System File Checker. Open an elevated command prompt (run as administrator) and type sfc /scannow. This command will scan and attempt to repair corrupted system files, including wininit.exe if necessary.
Deployment Image Servicing and Management (DISM): If SFC doesn’t resolve the issue, you can use DISM to repair the Windows image. Open an elevated command prompt and run:
- DISM /Online /Cleanup-Image /CheckHealth (Checks for corruption)
- DISM /Online /Cleanup-Image /ScanHealth (More thorough scan)
- DISM /Online /Cleanup-Image /RestoreHealth (Attempts to repair corruption)
Anti-Malware Scan: Run a full system scan with a reputable anti-malware program, including a boot-time scan if possible. This is crucial to detect and remove any malware that might be impersonating wininit.exe.
Check Event Logs: The Windows Event Viewer (eventvwr.msc) can provide clues about system errors. Look for errors related to wininit.exe, services.exe, lsass.exe, or other related processes.
Startup Repair: If Windows fails to boot, use the Startup Repair option from the Windows Recovery Environment (WinRE). This can often fix boot-related problems.
System Restore: If the problem started recently, try using System Restore to revert your system to an earlier point in time when it was working correctly.
Clean Boot: Perform a clean boot to troubleshoot potential software conflicts. This starts Windows with a minimal set of drivers and startup programs, helping you identify if a third-party application is causing the issue.
In-Place Upgrade/Reinstall: As a last resort, you can perform an in-place upgrade or a clean reinstall of Windows. An in-place upgrade preserves your files and settings, while a clean reinstall wipes the system drive.

Conclusion

wininit.exe is a vital component of the Windows operating system, responsible for initiating the core processes that form the foundation of a functional and secure Windows environment. While it’s not a virus, it can be a target for malware impersonation. Understanding its role and how to verify its legitimacy is crucial for maintaining system security and stability. Always be cautious of files claiming to be wininit.exe that are not located in the correct system directory or lack a valid Microsoft digital signature.

Источник