Winlogon exe что это за процесс windows 10

Все способы:

  • Сведения о процессе
    • Основные задачи
    • Размещение файла
    • Подмена вредоносной программой
  • Вопросы и ответы: 9

WINLOGON.EXE – это процесс, без которого невозможен запуск ОС Windows и её дальнейшее функционирование. Но иногда под его личиной кроется вирусная угроза. Давайте разберемся, в чем состоят задачи WINLOGON.EXE и какая опасность может исходить от него.

Сведения о процессе

Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».

Процесс WINLOGON.EXE в Диспетчере задач Windows

Какие же функции он выполняет и зачем нужен?

Основные задачи

Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.

Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).

Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.

Завершение работы системы через меню Пуск в Windows

При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.

Размещение файла

Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.

  1. Для того, чтобы определить место расположения файла с помощью Диспетчера задач, прежде всего нужно переключиться в нем в режим отображения процессов всех юзеров, произведя нажим на соответствующую кнопку.
  2. Включение режима отображения процессов всех пользователей в Диспетчере задач Windows

  3. После этого кликаем правой кнопкой мышки по наименованию элемента. В раскрывшемся перечне выбираем «Свойства».
  4. Переход в свойства процесса WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  5. В окне свойств перейдите во вкладку «Общие». Напротив надписи «Расположение» находится адрес размещения искомого файла. Практически всегда этот адрес следующий:

    C:\Windows\System32

    Место расположения файла WINLOGON.EXE в окне свойств процесса

    В очень редких случаях процесс может ссылаться на следующую директорию:

    C:\Windows\dllcache

    Кроме этих двух директорий больше нигде размещение искомого файла невозможно.

Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.

  1. В режиме отображения процессов всех пользователей щелкните по элементу правой кнопкой мыши. В контекстном меню выберите «Открыть место хранения файла».
  2. Переход в в место расположения файла WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  3. После этого откроется Проводник в той директории винчестера, где расположен искомый объект.

Место хранения файла WINLOGON.EXE в окне Проводника Windows

Подмена вредоносной программой

Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.

  1. Прежде всего, нужно знать, что в Диспетчере задач может быть только один процесс WINLOGON.EXE. Если вы наблюдаете больше, то один из них вирус. Обратите внимание, чтобы напротив изучаемого элемента в поле «Пользователь» стояло значение «Система» («SYSTEM»). Если процесс запускается от имени любого другого пользователя, например от имени текущего профиля, то можно констатировать факт, что мы имеем дело с вирусной активностью.
  2. Имя пользователя процесса WINLOGON.EXE в Диспетчере задач Windows

  3. Также проверьте место расположения файла любым из тех способов, которые были указаны выше. Если оно отличается от тех двух вариантов адресов для данного элемента, которые допускаются, то, опять же, перед нами вирус. Довольно часто вирус находится в корне каталога «Windows».
  4. Вирус WINLOGON.EXE размещен в папке Windows

  5. Вашу настороженность должен вызвать факт высокого уровня использования ресурсов системы данным процессом. В нормальных условиях он практически неактивен и активизируется только в момент входа/выхода из системы. Поэтому потребляет крайне мало ресурсов. Если WINLOGON начинает грузить процессор и потреблять большое количество оперативки, то мы имеем дело либо с вирусом либо с каким-то сбоем в системе.
  6. Потребление ресурсов процессом WINLOGON.EXE в Диспетчере задач Windows

  7. Если хотя бы один из перечисленных подозрительных признаков имеется в наличии, то скачайте и запустите на ПК лечащую утилиту Dr.Web CureIt. Она просканирует систему и в случае обнаружения вирусов произведет лечение.
  8. Сканирование системы антивирусной утилитой Dr.Web CureIt

  9. Если утилита не помогла, но вы видите, что объектов WINLOGON.EXE в Диспетчере задач два или больше, то остановите тот объект, который не отвечает стандартам. Для этого щелкните по нему правой кнопкой мыши и выберите «Завершить процесс».
  10. Переход к завершению процесса WINLOGON.EXE через контекстное меню в Диспетчере задач Windows

  11. Откроется маленькое окошко, где вы должны будете подтвердить свои намерения.
  12. Потверждение завершения процесса WINLOGON.EXE в Диспетчере задач Windows

  13. После того, как процесс завершен, переместитесь в папку расположения того файла, на который он ссылался, щелкните по этому файлу правой кнопкой мышки и выберите в меню «Удалить». Если система того потребует, подтвердите свои намерения.
  14. Удаление вирусного файла WINLOGON.EXE с помощью контекстного меню в Проводнике Windows

  15. После этого почистите реестр и повторно проверьте компьютер утилитой, так как довольно часто файлы такого типа подгружаются посредством команды из реестра, прописанной вирусом.

    Если не удается остановить процесс или снести файл, то зайдите в систему в Безопасном режиме и выполните процедуру удаления.

Как видим, WINLOGON.EXE играет важную роль в функционировании системы. Он непосредственно отвечает за вход и за выход из неё. Хотя, почти что все время, пока пользователь работает на ПК, указанный процесс находится в пассивном состоянии, но при его принудительном завершении продолжение работы в Виндовс становится невозможным. Кроме того, существуют вирусы, которые имеют аналогичное имя, маскируясь под данный объект. Их важно в максимально короткие сроки вычислить и уничтожить.

Наша группа в TelegramПолезные советы и помощь

Уровень сложностиПростой

Время на прочтение12 мин

Количество просмотров30K

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Я искренне приношу извинения за возможные неточности в изложении материала, информация в этой статье является «сборной солянкой» из моих слов и тысячи и тысячи источников!
По мере возможности я постараюсь обновлять материал, исправляя неточности, делая его более детализированным и актуальным.

System

Путь: Процесс не создается за счет исполняемого файла
Родительский процесс: Нет
Количество экземпляров: Один
Время запуска: Запуск системы

Здесь многословить не стоит: этот процесс отвечает за выполнение ядра операционной системы, других процессов и драйверов устройств, поэтому в основном под ним запускаются файлы .sys и некоторые важные для системы библиотеки. В обязанности System входит контроль за управлением оперативной и виртуальной памятью, объектами файловой системы.

smss.exe

Путь: %SystemRoot%\System32\smss.exe
Родительский процесс: System
Количество экземпляров: Один и дочерний, который запускается после создания сеанса
Время запуска: Через несколько секунд после запуска первого экземпляра

Session Manager Subsystem — диспетчер, отвечающий за создание новых сеансов, запуск процессов csrss.exe и winlogon.exe, отвечающих за графический интерфейс и вход в систему, а также за инициализацию переменных окружения. Первый экземпляр создает сеанс нуля и дочерний экземпляр, и как только дочерний экземпляр инициализирует новый сеанс, запуская csrss.exe и wininit.exe для сеанса 0 или winlogon.exe для сеанса 1, дочерний экземпляр завершается.

Если обнаружены проблемы с файловой системой, первостепенной функцией smss.exe является запуск системной утилиты для проверки диска — autochk.
После выполнения этих задач smss.exe переходит в пассивный режим.

Немного о сеансе 0 и сеансе 1

Сеанс 0 и сеанс 1 — это разные типы сеансов Windows, которые используются для запуска процессов.
Сеанс 0 создается при запуске системы, и в нем в фоновом режиме работают службы и процессы Windows.
Сеанс 1 создается для пользовательских процессов.

Chkdsk и autochk — что это вообще, и зачем? А разница в чем?

На самом деле, autochk — это версия chkdsk, которая запускается автоматически smss.exe при обнаруженных проблемах с диском. А разница их в том, что chkdsk можно запустить в среде Windows напрямую из командной строки, а autochk — нет.
Да и autochk работает только с NTFS, что не скажешь про chkdsk — он, в дополнение к NTFS, поддерживает FAT и exFAT.

Кстати!
По сути, chkdsk тоже может запускаться smss.exe, но это зависит от того, что указано в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager (здесь хранится информация, предназначенная для Диспетчеpa сеансов ) в параметре BootExecute). При запуске chkdsk Диспетчер сеансов использует параметр /r , что позволяет утилите производить поиск повреждённых секторов (наряду с ошибками файловой системы).

csrss.exe

Путь: %SystemRoot%\System32\csrss.exe
Родительский процесс: smss.exe, который, запустив csrss.exe, завершает работу
Количество экземпляров: Два или больше
Время запуска: Через несколько секунд после запуска первых двух экземпляров — для сеанса 0 и сеанса 1

Client/Server Run-Time Subsystem — подсистема выполнения «клиент/сервер» обеспечивает пользовательский режим подсистемы Windows. Csrss.exe отвечает за импорт многих DLL-библиотек, которые предоставляют WinAPI (kernel32.dll, user32.dll, ws_2_32.dll и другие), а также за обработку графического интерфейса завершения работы системы.
Процесс запускается для каждого сеанса, а именно 0 и 1, дополнительные сеансы создаются при помощи удаленного рабочего стола или за счет быстрого переключения между пользователями.

Что интересно для Windows Server

Можно проверить количество активных сеансов, введя query SESSION в командной строке. Так можно проверить, соответствует ли количество сеансов количеству запущенных csrss.exe.

И еще..

До Windows 7 csrss.exe обеспечивал старт окна консоли, но теперь этим занимается conhost.exe.

wininit.exe

Путь: %SystemRoot%\System32\wininit.exe
Родительский процесс: smss.exe, который завершает работу перед запуском wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

После получения управления от процесса smss.exe, wininit.exe помечает себя как критический, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию. Целью Windows Initialisation (wininit.exe) является запуск ключевых фоновых процессов в рамках сеанса нуля. Он запускает:

  • services.exe — Диспетчер управления службами

  • lsass.exe — Сервер проверки подлинности локальной системы безопасности

  • lsaiso.exe — для систем с включенной Credential Guard.

Дополнительно на протяжении всего сеанса работы системы wininit.exe отвечает за создание и наполнение папки TEMP. Перед выключением wininit.exe снова «активизируется» — теперь уже для корректного завершения запущенных процессов. .

Кстати!

До Windows 10 lsm.exe (Диспетчер локальных сеансов) также запускался с помощью wininit.exe. Начиная с Windows 10, эта функция перенесена в lsm.dll, которая размещена в svchost.exe.

services.exe

Путь: %SystemRoot%\System32\services.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

В функции services.exe входит реализация Унифицированного диспетчера фоновых процессов (UBPM), который отвечает за фоновую работу таких компонентов, как Диспетчер управления службами (SCM) и Планировщик задач (Task Sheduler). Словом, services.exe отвечает за управление службами, а также за контроль за взаимодействием служб, обеспечивая их безопасную и эффективную работу.

UBPM: немного для тех, кто видит первый раз

Унифицированный диспетчер фоновых процессов (UBPM) — компонент системы, который автоматически управляет фоновыми процессами, такими как службы и запланированные задачи. Словом, он помогает оптимизировать запущенные в фоновом режиме службы, приостанавливать или завершать фоновые процессы, что позволяет экономить ресурсы системы.

Кстати!

До Windows 10, как только пользователь успешно вошел в систему в интерактивном режиме, services.exe считал загрузку успешной и устанавливал для последнего удачного набора элементов управления HKLM\SYSTEM\Select\LastKnownGood значение CurrentControlSet.

А LastKnownGood — что это вообще?

LastKnownGood являлся опцией восстановления, благодаря которой можно запустить систему с последней рабочей конфигурацией, если система не может загрузиться из-за каких-либо причин. LastKnownGood сохранял резервную копию части реестра, в которой хранится информация о системе, драйверах и настройках.

Когда это могло пригодиться? Например, если загрузка нового ПО или изменение параметров системы не привело ни к чему хорошему. Тогда можно было бы использовать эту опцию, чтобы отменить изменения и откатиться к прошлому состоянию.

svchost.exe

Путь: %SystemRoot%\system32\svchost.exe
Родительский процесс: services.exe (чаще всего)
Количество экземпляров: Несколько (обычно не менее 10)
Время запуска: В течение нескольких секунд после загрузки, однако службы могут запускаться в течение работы системы, что приводит к появлению новых экземпляров svchost.exe.

svchost.exe (в Диспетчере задач прописывается как Служба узла) — универсальный хост-процесс для служб Windows, использующийся для запуска служебных DLL. В системе запускается несколько экземпляров svchost.exe, и каждая служба работает в своем собственном процессе svchost, что позволяет изолировать ошибки в работе одной службы от других, хотя в системах с ОЗУ менее 3,5 ГБ службы приходится группировать (см. ниже). Ну а в системах с оперативной памятью более 3,5 ГБ можно увидеть даже более 50 экземпляров svchost.exe.

Злоумышленники часто пользуются преимуществом наличия большого количества процессов svchost.exe, и могут воспользоваться этим, чтобы разместить какую-либо вредоносную DLL в качестве службы, либо запустить вредоносный процесс с именем svchost.exe или что-то типа scvhost.exe, svhost.exe и так далее.
Хотя, как известно, так можно сделать с любым процессом, но с svchost.exe это происходит почаще.

Кстати!

До Windows 10 версии 1703 экземпляры svchost.exe по умолчанию запускались в системе с уникальным параметром -k, благодаря которому была возможна группировка похожих служб. Типичные параметры -k включают:

  • DcomLaunch — служба, которая запускает компоненты COM и DCOM, благодаря которым программы взаимодействуют между собой на удаленных компьютерах

  • RPCSS — служба RPC (удаленный вызов процедур), благодаря которой программы взаимодействуют между собой через сеть.

  • LocalServiceNetworkRestricted — локальная служба, которая работает в пределах компьютера и имеет доступ к сети только для определенных операций.

  • LocalServiceNoNetwork — локальная служба, идентичная LocalServiceNetworkRestricted, но не имеющая доступа к сети.

  • netsvcs — группа служб Windows, благодаря которым выполняются задачи, связанные с сетью.

  • NetworkService — служба, которая позволяет выполнять задачи на удаленных хостах, и имеет доступ к сети для обмена данными.

Здесь можно почитать о разделении служб SvcHost.

RuntimeBroker.exe

Путь: %SystemRoot%\System32\RuntimeBroker.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Работающий в системах Windows, начиная с Windows 8, RuntimeBroker.exe действует как прокси между ограниченными приложениями универсальной платформы Windows (UWP) и набором функций и процедур Windows API. В целях безопасности приложения UWP должны иметь ограниченные возможности взаимодействия с оборудованием, файловой системой и другими процессами, поэтому процессы-брокеры а-ля RuntimeBroker.exe используются для обеспечения требуемого уровня доступа для таких приложений.

Обычно для каждого приложения UWP существует один файл RuntimeBroker.exe. Например, запуск сalculator.exe приведет к запуску соответствующего процесса RuntimeBroker.exe.

И такое было: об утечках памяти, связанных с RuntimeBroker

Когда процесс RuntimeBroker еще был в новинку, пользователи во время работы с системой начали замечать, что RuntimeBroker.exe нещадно занимает аж более 500 МБ памяти, что несвойственно для него.
Оказывается, ошибка заключалась в следующем: каждый вызов метода TileUpdater.GetScheduledTileNotifications приводила к тому, что RuntimeBroker выделял память без ее дальнейшего высвобождения. Чаще всего с этим сталкивались пользователи, у которых было установлено приложение «The Time» для измерения времени — оно постоянно обновляло информацию на плитке.

Об этом казусе в Windows 8 можно почитать тут.

Про метод TileUpdater.GetScheduledTileNotifications

Если кратко, это метод, позволяющий получать запланированные уведомления от плиток в универсальных приложениях Windows (UWP). Он позволяет приложениям отображать информацию на стартовом экране пользователя в виде динамически обновляемых плиток.

Те самые "плитки" в Windows 8

Те самые «плитки» в Windows 8

taskhostw.exe

Путь: %SystemRoot%\System32\taskhostw.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Процесс Task Host Window отвечает за выполнение различных задач Windows.
С началом работы, taskhostw.exe начинает выполнять задачи, которые были назначены ему системой, а в течение работы системы выполняет непрерывный цикл прослушивания триггерных событий. Примеры триггерных событий, которые могут инициировать задачу, могут включать в себя:

  • Определенное расписание задач

  • Вход пользователя в систему

  • Запуск системы

  • Событие журнала Windows

  • Блокировка/ разблокировка рабочей станции и т.д.

Двое из ларца: В чем разница между Task Host Window и Task Scheduler?

Task Host Window отвечает за выполнение различных системных задач, например, запуск служб и выполнение запросов на исполнение программ. Taskhostw.exe может использоваться для запуска службы обновления Windows, перехода компьютера в режим сна или ожидания после определенного времени и так далее.

Task Sheduler, он же Планировщик задач, — инструмент, благодаря которому пользователь имеет возможность создавать задачи и запускать их по расписанию или при определенных событиях. Планировщик задач может быть использован для запуска программ, скриптов и автоматизации задач.

lsass.exe

Путь: %SystemRoot%\System32\lsass.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: В течение нескольких секунд после загрузки

Local Security Authentication Subsystem Service (Служба проверки подлинности локальной системы безопасности) отвечает за аутентификацию пользователей путем вызова соответствующего пакета аутентификации, указанного в HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Обычно это Kerberos для учетных записей домена или MSV1_0 для локальных учетных записей. Помимо аутентификации пользователей, lsass.exe также отвечает за реализацию локальной политики безопасности (например, политики паролей и политики аудита), а также за запись событий в журнал событий безопасности.

Что любят котята: Mimikatz и LSASS

Многим известно, что злоумышленники могут использовать Mimikatz, зачастую для перехвата учетных данных в операционной системе, и делают они это за счет перехвата данных процесса lsass.exe.
Все просто: работает Mimikatz на уровне ядра и внедряется в процесс LSASS или использует метод DLL-injection. Кража учетных данных происходит либо за счет получения доступа к памяти процесса, в котором лежат заветные креды, либо за счет перехвата вызова функций до шифрования учетных данных.
Также Mimikatz не пренебрегает использованием стандартных функций Win32 LsaProtectMemory и LsaUnprotectMemory, которые используются для шифрования и расшифровки некоторых участков памяти с чувствительной информацией.

Чуть больше об lsass.exe можно прочитать тут.
И о любви котят к LSASS — тут.

winlogon.exe

Путь: %SystemRoot%\System32\winlogon.exe
Родительский процесс: smss.exe, который, запустив winlogon.exe, завершает работу
Количество экземпляров: Один или больше
Время запуска: В течение нескольких секунд после загрузки первого экземпляра, дополнительные экземпляры запускаются по мере создания новых сеансов (подключение с удаленного рабочего стола и быстрое переключение пользователей)

Winlogon обрабатывает интерактивный вход и выход пользователей из системы. Он запускает LogonUI.exe, который использует поставщика учетных данных для сбора учетных данных пользователя, а затем передает учетные данные lsass.exe для проверки.
После аутентификации пользователя Winlogon загружает NTUSER.DAT пользователя в HKCU, настраивает окружение пользователя, включая его рабочий стол, настройки реестра и т.д., и запускает оболочку пользователя explorer.exe через userinit.exe.

Совсем чуть-чуть об logonUI.exe

Да, название говорит само за себя: logonUI.exe отвечает за отображение экрана входа пользователя и за взаимодействие с пользователем при входе в систему. Если просто, то вывод того самого экрана входа и поля для ввода учетных данных — старания logonUI.exe.

..И об userinit.exe

Основная функция userinit.exe заключается в подготовке среды пользователя для работы в операционной системе.
Когда пользователь входит в систему, userinit.exe инициирует загрузку профиля пользователя, настройки оболочки (шаблоны рабочего стола, запуск программ и т.д.). После выполнения сих действий, userinit.exe запускает оболочку пользователя explorer.exe, которая отображает рабочий стол и другие элементы интерфейса, после чего завершает работу.

Кстати!

Обработка команд из CTRL+ALT+DEL, между прочим, тоже входит в обязанности winlogon.exe.
А тут можно почитать о Winlogon еще и узнать чуть больше — и про его состояния, и про GINA, и про все-все.

explorer.exe

Путь: %SystemRoot%\explorer.exe
Родительский процесс: userinit.exe, который завершает работу
Количество экземпляров: Один или больше, если включена опция Запускать окна с папками в отдельном процессе
Время запуска: Интерактивный вход пользователя

По своей сути, explorer.exe предоставляет пользователям доступ к файлам, хотя одновременно это файловый браузер через проводник Windows (тот самый Диспетчер файлов) и пользовательский интерфейс, предоставляющий такие функции, как:

  • Рабочий стол пользователя

  • Меню «Пуск»

  • Панель задач

  • Панель управления

  • Запуск приложений через ассоциации расширений файлов и файлы ярлыков

Словом, процесс отвечает за отображение действий пользователя: открытие и закрытие окон, перемещение и копирование файлов и тому подобное.

Запуск приложений через ассоциации расширений файлов

По сути, это процесс, при котором система использует информацию о расширении имени файла (например, .txt) для определения программы, которая будет запущена, чтобы обработать этот файл. Например, файл расширения .txt ассоциируется в системе с текстовым редактором, потому она запустит его при двойном щелчке мышью. Словом, ассоциации расширений файлов определяют, какие программы открываются по умолчанию для определенных типов файлов.

Также и с ярлыками — при щелчке запускается связанные с ними ресурсы.

Explorer.exe — это пользовательский интерфейс по умолчанию, указанный в значении реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell, хотя Windows может работать и с другим интерфейсом, например, с cmd.exe.
Следует заметить, что легитимный explorer.exe находится в каталоге %SystemRoot%, а не %SystemRoot%\System32.

Explorer — это же браузер, нет?

В старые добрые времена, когда на системах еще стоял Internet Explorer, запуск этого браузера инициировал процесс iexplore.exe, и с каждой новой вкладкой создавался новый экземпляр этого процесса. Сейчас остался только explorer.exe, который ни в коем случае не связан с браузером.
Вместо Internet Explorer на наших системах стоит MS Edge, который имеет процесс msedge.exe, исполняемый файл которого лежит в \Program Files (x86)\Microsoft\Edge\Application\.

ctfmon.exe

Путь: %SystemRoot%\System32\ctfmon.exe
Родительский процесс: Зависит от того, какой процесс запустил ctfmon.exe
Количество экземпляров: Один
Время запуска: При входе в систему

Процесс ctfmon.exe или, как привыкли его видеть, CTF-загрузчик, управляет функциями рукописного и сенсорного ввода, распознавания голоса и переключения языка на панели задач. Также процесс отслеживает активные программы и настраивает языковые параметры для обеспечения поддержки многоязычного ввода.
Ctfmon.exe может быть запущен разными процессами, и это напрямую зависит от того, какие функции ввода или языка используются в системе. Примеры родительских процессов и причины запуска:

  • svchost.exe — использование рукописного ввода или распознавания речи

  • winword.exe, excel.exe и т.д. — использование программ пакета Microsoft Office

  • searchUI.exe — использование поиска на панели задач или приложения из магазина Windows 10

Конечно, это не исчерпывающий список легитимных процессов, но, как минимум, основной. Хочется верить, что этот материал был полезен тем, кто пугается страшных букв в Диспетчере задач и тем, кто просто хочет узнать немного больше.
Спасибо за прочтение!

winlogon.exe in Windows 10 always appears in the Background process when you open Task Manager. Many users misinterpret this file as a virus. This is because it uses .exe extension which is same for various malware found on daily basis. Now the real question is it any type of virus? If not, then what is it? Why is it there on your computer? In this article, we will tell you every detail on this winlogon.exe.

As its name suggests, Winlogon stands for “Windows Logon Application”. It is a crucial part of Windows OS which controls different activities on your computer. It regularly runs on your system until you switch off your PC.

winlogon.exe in Windows 10 – What is it and How works

What are different works of winlogon.exe on your PC

As a logging controller

When you log in your computer, winlogon.exe gives you a command to enter your password. If your password is correct, it successfully logs you in otherwise it gives an error message. This will let the programs to use the keys under the Registry Editor path HKEY_CURRENT_USER. However, this path is different for every Windows user.

The existence of winlogon.exe in computer

Being an essential part of Windows, this file always remains in C drive of your computer. You can check it by using path C:\Windows\System32. You can also open it by using Task Manager.

Perform a right-click on an empty space on the taskbar and from the pop-up menu choose Task Manager.

Locate and do a right-click on Windows Logon Application in the Processes tab of Task Manager. Click on Open File Location option (See snapshot).

File Explorer will launch and display the location of winlogon.exe.

As a screen server controller

It also facilitates to control the mouse and keyboard activities when you work on your computer. Basically, when your desktop’s screen is on, it is working behind. It even takes when your screen is idle for a long time and brings back the login screen when you wish to terminate screensaver by seeing the movement of your mouse or if any key is pressed on your keyboard.

When no threads are touched by winlogong.exe, it continuously runs process by running function “WixDisplayLockedNotice” of the GINA. It terminates the screen server if GINA notices no signal. Of course, it would occur if you let the screen idle for a pre-defined value on your PC.

As a desktop protector

Winlogon.exe in windows OS is also responsible for protecting the desktop to carry full utilization of computer objects attached to the device.

As a network controller

When your device is connected to LAN ( or Local Area Network) or different types of network, winlogon.exe first controls each workstation authentication. Then it passes data smoothly without any collapse. It continuously uploads the password and if any new server is added to it, then it authenticates that password too.

The disabling process of winlogon.exe

As you are aware that this is a built-in program of Windows OS, there is no logic to disable it. It only takes a small part of your memory and performs various tasks. Disabling will have an adverse effect on your system.

If you try to temporarily end the process from Tak Manager, it will display a warning message. It will notify you that “Ending this process will cause Windows to become unusable or shut down”. In case you avoid this note, the screen will immediately go black. Moreover, the PC will not even respond to Ctrl + Alt + Delete.

The winlogon.exe in Windows 10 is totally responsible for managing Ctrl + Alt + Delete. So, once you stop the process, there is no option to recover your session.

So, to continue, you have to restart Windows 10 PC.

Virus vs winlogon.exe file

Winlogon.exe in Windows 10 might look like a virus, however, it is not. Extension files like this can be a virus if it is not there on its right path. This file is there in C:\Windows\System32 and it is not a virus rather a crucial part of your operating system.

If you find the same name in another directory it might be a Trojan and could create nuisance in the system. Therefore, when you see the winlogon.exe next time, do check the path of this file. Again If it uses high CPU memory, it may be a malware. This is because winlogon.exe is not designed to use huge CPU usage in your memory.

See: How to Check Which Process Is Using More CPU in Windows 10.

That’s all about winlogon.exe in Windows 10!!!

Запуск операционной системы Windows начинается после прохождения компьютером POST-теста. Подсистема управления сеансами и клиент/сервер времени выполнения обращаются к программе входа в систему — winlogon.exe. Что это за процесс в Windows 7, рассказано в этой статье.

Функции программы

«Win» обозначает принадлежность процесса к ОС, «logon» (log on) указывает, что программа связана с процедурой входа пользователя систему — аутентификацией.

После успешной проверки входа, winlogon.exe активирует реестр и выполняет набор стартовых команд, прописанных в одной из его веток. Далее активируется оболочка и запускается Explorer, который является основой интерфейса Windows.

Запускается процессом smss.exe при загрузке ОС, а затем сам включает lsass.exe и services.exe.

Основные функции программы:

  • работоспособность и защита рабочего стола;
  • работа компьютерной сети;
  • контроль хранителя экрана (скринсейвера);
  • загрузка пользовательских профилей;
  • обеспечение безопасности пользовательских данных, работа со стандартом SAS;
  • проведение верификации копий ОС Windows.
  • поддержка входа и выхода пользователя из системы и другие.

По умолчанию, файл располагается в папке System32 или SysWoW64 в зависимости от разрядности системы.

Особенности

Процесс winlogon.exe невозможно завершить на пользовательском уровне, так как он является системным. От его присутствия зависит работоспособность большинство модулей ОС.

win

Управление такими процессами осуществляется на уровне ядра со знаниями системного программирования. Однако, если вам все же удастся завершить winlogon.exe, то работа Windows будет нестабильной вплоть до полной остановки, ввиду чего придется перезапустить компьютер.

Также особенностью этого процесса является управление системными сочетаниями клавиш. В отличие от GNU/Linux, в Windows невозможно штатными средствами переназначать клавиши по типу «Alt + Tab» (смена активного окна) или «Ctrl + Alt + Delete»  (блокировка экрана).

Иногда возникает проблема в процессе установки какого-либо ПО. Такое возможно, если запущено приложение, связанное с winlogon.exe (например, FineReader OCR). В этом случае необходимо закрыть все лишние программы перед установкой, чтобы избежать конфликтов ОС.

Заражение вирусом

Изолированием winlogon.exe от действий пользователя эффективно пользуются разработчики вирусов. Наличие знаний в области прикладного и системного программирования позволяет им обходить это ограничение и создавать вирус с точно таким же названием, но другим расположением на диске. Свидетельствовать о заражении может сообщение, что winlogon.exe инициировал перезапуск.

  1. Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc».
  2. Перейдите на вкладку «Процессы».
  3. Убедитесь, что в списке присутствует только один winlogon.exe. В противном случае, проверьте компьютер на наличие вирусов.

winlogon

Выводы

Winlogon.exe является системной программой, отвечающей за начальную загрузку системы и аутентификацию пользователя. В списке запущенных процессов она должна быть в единственном экземпляре. В противном случае, необходимо проверить компьютер на вирусы.

  • Как выбрать игровой ПК
  • Установка Виндовс недорого в Красноярске
  • Ремонт и сборка ПК Красноярск

Увидеть процесс winlogon.exe в Windows 7, 8 или 10 можно всего лишь, открыв Диспетчер задач. Не нужно указывать, чтобы система показала процессы всех пользователей. Программа Winlogon – одна из основных системных утилит, и не должна иметь никакого отношения к вирусам. Впрочем, вредоносный код иногда приводит к повреждению исполняемого файла и неправильной работе winlogon.exe. поэтому пользователю, который не хочет, чтобы на его компьютере находился вирус, стоит сначала убедиться в том, что это именно Winlogon, а затем удалить. Или воспользоваться другими средствами решения проблемы, если её причиной стал не вредоносный код, а другие неполадки.

Задачи процесса

Настоящий процесс под названием Winlogon показывает, что на ПК запущена программа для ввода пароля. С её помощью другие приложения могут использовать ключи в редакторе реестра (раздел HKEY_CURRENT_USER). Процесс контролирует вход и выход пользователя в операционную систему Виндовс. А иногда, когда в настройках включена заставка – принимает решение о её вызове на экран при длительном неиспользовании клавиатуры или мыши. Эта же программа контролирует проверку подлинности пароля и логина, когда система их запрашивает.

winlogon1

В обычное время, когда исполняемый файл работает нормально, он остаётся на диске C – в системной папке Windows и расположенном в нём каталоге system32. Если появляются какие-то проблемы, и процесс winlogon.exe оказывается заражён вредоносным кодом, меняются и местоположение, и размеры, и объём занимаемой приложением памяти.

Местоположение файла и поиски проблемы

В первую очередь стоит убедиться – имеет ли отношение замедление работы компьютера и другие показывающие заражение вредоносным кодом признаки к процессу winlogon.exe. порядок действий следующий:

  1. Открыть Диспетчер задач.
  2. Открыть место хранения исполняемой программы (через контекстное меню процесса).
  3. Перейти в папку и проверить, является ли она системным каталогом System32.
  4. Проверить объём памяти, который занимает процесс – при появлении проблем, это значение будет составлять около 300-2000 МБ.
  5. Если всё в порядке, искать другие причины проблемы. Если исполняемый файл расположен в другом каталоге – перейти к способам устранения неполадок системы.

winlogon2

В среднем, размеры файла – около 1 МБ, иногда даже меньше. В памяти он занимает от1 до 3-4 МБ. При появлении проблемы – десятки и даже сотни мегабайт. Это значит, что процесс заменён червём, трояном или другим вредоносным кодом.

Устранение неполадок

Когда проблема обнаружена, стоит выполнить действия по её устранению:

  1. Просканировать файл и весь ПК на заражения вирусами. Для этого можно использовать уже имеющийся антивирус – или новый, потому что старая программа ничего не нашла. Или специальные разовые сканеры.
  2. Выполнить восстановление из одной из заранее созданных точек. Правда, для использования этого способа следует заранее позаботиться о включении такой функции в Панели управления. Раздел так и называется «Восстановление». Если способ был заранее не предусмотрен, восстановить ничего не получится – но можно включить эту опцию на будущее.
  3. Запустить утилиту под названием SFC. Для этого в командной строке следует набрать команду «sfc /scannow» и подождать результатов её выполнения.

winlogon3

Не помешает также установить обновления системы Windows. Но, если ни один из вышеуказанных способов не помог, может понадобиться даже полная переустановка системы. Для этого нужен дистрибутив Виндовс и, как правило, не больше часа времени на саму установку и настройки.

антивирусное ПО, вирусы, антивирус, диспетчер задач, winlogon.exe

  • Просмотров: 12829

Похожие материалы

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Где хранятся учетные данные windows
  • Dell inspiron 15 3552 windows 7 drivers
  • Asus f541u драйвера windows 7
  • Запуск постгрес из командной строки windows
  • Hp laserjet pro m15w драйвера windows xp