Ошибки winlogon.exe и способы восстановления системы
Содержание:
- Что такое Windows Logon Application
- Winlogon.exe: что это за процесс и в чём причины его нагрузки на систему
- Почему создаётся нагрузка
- Процесс Winlogon.exe инициировал действие выключения питания: почему?
- Что за процесс Winlogon.exe?
- Заражение вирусом
- Почему процесс грузит систему?
- Как выявить вирусный процесс?
- Что произойдет, если я его отключу?
- Что такое Winlogon.exe?
- Сведения о процессе
- Список версий файлов
- КриптоПро Winlogon
- Загрузка
- Winlogon.exe: что это за процесс и в чём причины его нагрузки на систему
- Что это winlogon.exe в диспетчере задач
- Краткий обзор
- Windows Logon может быть вирусом
- Как удалить троян?
- Загрузите и замените файл winlogon.exe
- Процесс Winlogon.exe инициировал действие выключения питания: почему?
- Особенности
- Перехватчики GINA
- Как удалить троян?
- Можно ли отключить winlogon.exe?
- Несколько слов напоследок
- Заключение
Что такое Windows Logon Application
Процесс Winlogon.exe является очень важной частью операционной системы Windows, и Windows будет непригодна для использования без него. Этот процесс выполняет множество критических задач, связанных с процессом входа в Windows
Например, при входе winlogon.ехе отвечает за загрузку профиля пользователя в реестре. Это позволяет программам использовать ключи в разделе HKEY_CURRENT_USER, которые различны для каждой учетной записи пользователя Windows
Этот процесс выполняет множество критических задач, связанных с процессом входа в Windows. Например, при входе winlogon.ехе отвечает за загрузку профиля пользователя в реестре. Это позволяет программам использовать ключи в разделе HKEY_CURRENT_USER, которые различны для каждой учетной записи пользователя Windows.
Процесс Winlogon.exe имеет специальные «крючки» в системе, и постоянно наблюдает, нажимаете ли Вы Ctrl + Alt + Del. Это называется «безопасная последовательность внимания», и поэтому некоторые компьютеры могут быть настроены так, чтобы требовать от вас нажатия Ctrl + Alt + Del, прежде чем войти. Это сочетание клавиш всегда улавливается winlogon.exe, который гарантирует, что вы входите на защищенном рабочем столе, где другие программы не могут контролировать пароль, который вы вводите.
Windows Logon Application также отслеживает клавиатуру и мышь и отвечает за блокировку компьютера и запуск хранителя экрана после определенного периода бездействия.
Таким образом, Winlogon является важной частью процесса входа в систему и должен оставаться запущенным в фоновом режиме
Winlogon.exe: что это за процесс и в чём причины его нагрузки на систему
Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей
Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера
И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.
Особенности процесса Winlogon.exe.
Почему создаётся нагрузка
Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:
Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.
Процесс Winlogon.exe инициировал действие выключения питания: почему?
Да, действительно, проблемы с питанием являются самыми распространенными. Обычные вирусы себя так не ведут. Но в данном случае мы имеем дело с необычными угрозами. Несмотря на то, что они появились очень давно (чуть ли не на заре развития первых компьютеров на основе Windows) и на сегодняшний день, в общем-то, морально устарели, тем не менее в последнее время что-то замечена их подозрительно высокая активность. Но не только вирусы могут вызывать выключение или перезагрузку.
И в самой операционной системе хватает настроек, которые могут устанавливать автоматический режим управления электропитанием, что обычно связано с восстановлением после каких-то сбоев.
Что за процесс Winlogon.exe?
Начнем с оригинального системного компонента. Чтобы понять, что за процесс Winlogon.exe, достаточно разобраться с его названием. Наверняка многие уже поняли, о чем идет речь. Win – сокращение от Windows, logon – слитное написание Log On.
Таким образом, нетрудно сделать вывод, что данный процесс является службой входа в систему, причем не только при первоначальной загрузке, но и при смене пользователя. При обычном старте операционной системы он запускается службой smss.exe для обеспечения выбора пользователя и ввода пароля доступа к профилю, в свою очередь, инициируя старт других системных компонентов (services.exe, lsass.exe и т. д.).
Заражение вирусом
Изолированием winlogon.exe от действий пользователя эффективно пользуются разработчики вирусов. Наличие знаний в области прикладного и системного программирования позволяет им обходить это ограничение и создавать вирус с точно таким же названием, но другим расположением на диске. Свидетельствовать о заражении может сообщение, что winlogon.exe инициировал перезапуск.
- Откройте «Диспетчер задач» комбинацией клавиш «Ctrl + Shift + Esc».
- Перейдите на вкладку «Процессы».
- Убедитесь, что в списке присутствует только один winlogon.exe. В противном случае, проверьте компьютер на наличие вирусов.
Совет! Перед выбором антивирусного ПО рекомендуем ознакомиться со статьей «Лучший антивирус для Windows».
Почему процесс грузит систему?
Но на этом радужном фоне можно встретить и черные пятна. Иногда пользователи замечают, что данный компонент начинает потреблять неоправданно много ресурсов с неимоверным увеличением нагрузки на центральный процессор и оперативную память, да, и система, неизвестно почему выдает сообщения о том, что процесс Winlogon.exe инициировал выполнение какой-то процедуры (обычно самопроизвольное выключение компьютера или перезагрузка). Почему так происходит? Да только потому, что наряду с оригинальным процессом в системе обосновался вирус, маскирующийся под эту системную службу.
Как выявить вирусный процесс?
Теперь остановимся на тех моментах, когда выдается предупреждение о том, что процесс Winlogon.exe инициировал выключение питания. В данном случае, как уже, наверное, понятно, речь идет о выявлении вирусных угроз.
Первым делом необходимо заглянуть в «Диспетчер задач». В нем может находиться только один (!) процесс Winlogon.exe с атрибутом «Система». Если вы наблюдаете два и более одинаковых процесса, это точно вирусы. Через меню ПКМ на выбранном процессе нужно перейти к пункту отображения расположения файла.
Оригинальный системный компонент может находиться только в двух местах: в каталоге System32 и иногда в папке dllcache (обе расположены в основной директории Windows).
Что произойдет, если я его отключу?
Если вы надеялись увидеть прямые инструкции о том, как завершить winlogon, извините за то, что разочаровали вас по понятным причинам
Если вы все-таки решите отбросить осторожность, проигнорировав предупреждения, и перейдете к завершению операции, мы ожидаем, что ваш экран погаснет или произойдет аналогичное событие в том же направлении
Теоретически, ваша ОС должна запускать Winlogon при загрузке вашего компьютера. Если Windows испытывает серьезные трудности или внезапно терпит неудачу в своих попытках выполнить такие операции, вы увидите синий экран ошибки смерти. Код ошибки, обычно связанный с такими событиями равен 0xC000021A.
Что такое Winlogon.exe?
Если вам хоть раз доводилось открывать диспетчер задач, то вы наверняка замечали, какое количество процессов запущено на вашем компьютере. Среди этих процессов можно заметить «Winlogon.exe». Сегодня мы рассмотрим для чего нужен этот процесс, а также почему в некоторых случаях он может являться вирусом.
Запустить диспетчер задач можно следующим образом: нажмите на клавиатуре сочетание клавиш Ctrl+Alt+Delete и выберите пункт «Запустить диспетчер задач». В открывшемся окне перейдите во вкладку «Процессы».
Как уже было отмечено выше, ваш компьютер выполняет множество процессов, которые отображаются в меню «Диспетчер задач». Эти процессы, если они только не относятся к сторонним программам, ни в коем случае нельзя закрывать.
Именно к таким важным процессам и относится Winlogon.exe. Если обобщить, то данный процесс отвечает за вход в систему под вашей учетной записью. Если процесс по незнанию закрыть, осуществить вход в систему будет невозможно без проведения переустановки Windows.
Winlogon.exe выполняет сразу несколько важных функций: во-первых, он отвечает за запуск процессов, необходимых для входа в систему (запрос логина и пароля), во-вторых, устраняет программы, которые могут зафиксировать ваш логин и пароль, а в-третьих, на Winlogon.exe возложены все задачи по регистрации в системе.
Таким образом, можно сделать вывод, что Winlogon.exe является неотъемлемой частью операционной системы. К сожалению, именно этим и пользуются хакеры, размещая в компьютерах пользователей вирусы с аналогичными названиями.
Обратите внимание! Winlogon.exe всегда располагается в папке Windows/System32. Если вы нашли файл Winlogon в какой-либо другой папке на компьютере, можно со 100%-ой уверенностью утверждать, что это вирус
Это и относится к диспетчеру задач. Если вы заметили, что в диспетчере задач выполняется несколько процессов Winlogon.exe, то в системе содержится вирус, т.к. Winlogon должен быть только один.
Что делать, если вы нашли вирус?
Итак, вы убедились в том, что помимо системного Winlogon.exe, на компьютере имеется вирус, замаскированный под системный файл.
1. Первым делом, откройте свой антивирус и запустите глубокое сканирование системы.
Если антивирус нашел зараженные файлы, то проверьте, не являются ли они системными. Если да, то удалять их пока не стоит, ровным счетом, как и найденный Winlogon.exe, т.к. это может нарушить работу компьютера.
2. Следом стоит почистить реестр Windows. Лучше это делать с помощью сторонних программ, например, CCleaner.
3. Довольно часто вирус может прятаться в конфигурациях браузера, поэтому удалите все настройки всех веб-обозревателей на компьютере, а также на время удалите дополнения, установленные в каждом браузере.
4. Запустите меню «Пуск» и в строке поиска пропишите «Winlogon.exe». Если в результатах будут отображены файлы, не относящиеся к системному Winlogon.exe, то попробуйте удалить их вручную, предварительно отключив доступ в интернет.
Если приведенные советы не помогли вам устранить проблему, то, к сожалению, единственный оставшийся вариант – переустановить операционную систему.
Сведения о процессе
Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».
Какие же функции он выполняет и зачем нужен?
Основные задачи
Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.
Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).
Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.
При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.
Размещение файла
Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.
В очень редких случаях процесс может ссылаться на следующую директорию:
Кроме этих двух директорий больше нигде размещение искомого файла невозможно.
Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.
Подмена вредоносной программой
Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.
Если не удается остановить процесс или снести файл, то зайдите в систему в Безопасном режиме и выполните процедуру удаления.
Список версий файлов
Имя файла
winlogon.exe.mui
система
Windows 10
Размер файла
25088 bytes
Дата
2017-03-18
Скачать
Подробности файла | ||
---|---|---|
MD5 | d313e182b5dfd30717616eb846285a74 | |
SHA1 | ffc00e8507135f34d28f83c0e98c9cd618aee55c | |
SHA256 | c5da32b1429441473fc5fde9397bdf90bed519f292e97527a5e4adab19af1b58 | |
CRC32 | 2bb14903 | |
Пример расположения файла | C:\Windows\System32\en-US\ |
Имя файла
winlogon.exe.mui
система
Windows 8.1
Размер файла
24064 bytes
Дата
2014-11-21
Скачать
Подробности файла | ||
---|---|---|
MD5 | 338b7519e71f5d3fb0ccaffbc66d3528 | |
SHA1 | bfa12f8828076dea807b51cda30bc6899b7f361d | |
SHA256 | fbd2a80dfac95bc7867dc7ef9443de71355e4f65c54485b1e0b54bf11fe155c0 | |
CRC32 | bb5906ad | |
Пример расположения файла | C:\Windows\System32\en-GB\ |
Имя файла
winlogon.exe.mui
система
Windows 8
Размер файла
24064 bytes
Дата
2012-07-26
Скачать
Подробности файла | ||
---|---|---|
MD5 | b9094b7088cd579e5aed57a693f9bfbd | |
SHA1 | 8bef602bcc7f2c264d7c87726babbc1ddd6fa23e | |
SHA256 | 8b357934e6c6d575b9c325c156ccd5d8dbc44c0753d183770db05cbf2337cdd4 | |
CRC32 | 97fba8c7 | |
Пример расположения файла | 1: C:\Windows\System32\en-GB\ |
Имя файла
winlogon.exe.mui
система
Windows 7
Размер файла
23040 bytes
Дата
2011-04-12
Скачать
Подробности файла | ||
---|---|---|
MD5 | 34c7d2e30868edafb191341d963aba5f | |
SHA1 | 3bcb2969e4a86d46b91908c2f3a28fe8f913dbb4 | |
SHA256 | 652dcfa7c99ca1b98a36df59d2254bbd3b65f3633876cfc78f0d4145ea6bc1dd | |
CRC32 | 3644473c | |
Пример расположения файла | C:\Windows\System32\en-US\ |
Имя файла
winlogon.exe.mui
система
Windows Vista
Размер файла
19968 bytes
Дата
2008-01-21
Скачать
Подробности файла | ||
---|---|---|
MD5 | 1db95b0920fa9783476ac46f187c06f6 | |
SHA1 | 842d5a0eba35d3188c15c766e39ba3ef1387575b | |
SHA256 | c8192e0c5e46ed00bc5dfeb4bc073501ec080f022e982d1b72050e698bee9c82 | |
CRC32 | 3d3e6d65 | |
Пример расположения файла | C:\Windows\SysWOW64\en-US\ |
Имя файла
winlogon.exe.mui
система
Windows Vista
Размер файла
28672 bytes
Дата
-0001-11-30
Скачать
Подробности файла | ||
---|---|---|
MD5 | 26ac28bf50dc112baa794a83e08588f0 | |
SHA1 | b4df0d857c2410c6e1923c7664d73c21653b8d23 | |
SHA256 | 8af1e6c949349a83f92a1710e543ed6bd1f618901d0cd8724b113c9b11084a07 | |
CRC32 | 449f439d | |
Пример расположения файла | C:\Windows\SysWOW64\en-US\ |
КриптоПро Winlogon
КриптоПро Winlogon предназначен для ОС семейства Microsoft Windows и реализует первоначальную аутентификацию пользователя протокола Kerberos V5 (RFC 4120) по сертификату и ключевому носителю (смарт-карта, USB-токен) с использованием сертифицированного СКЗИ «КриптоПро CSP» версии 3.0 и выше.
Открытые ключи и ЭЦП по ГОСТ Р 34.10 используются для аутентификации и авторизации пользователя домена Windows в соответствии с RFC 4490.
Сертификаты пользователей и контроллеров домена могут либо выпускаться и управляться с помощью сертифицированного КриптоПро УЦ, либо находиться под управлением домена Windows.
Назначение
КриптоПро Winlogon предназначен для:
- Первоначальной аутентификацию пользователей домена Windows (сферы Kerberos) по ключевому носителю (смарт-карта, USB-токен) на основе сертификатов открытых ключей X.509;
- Аутентификации контроллеров домена при сетевых взаимодействиях;
- Обеспечения конфиденциальности и имитозащиты терминальных сессий (Microsoft Remote Desktop Protocol (RDP), Citrix ICA).
Основные характеристики
Первоначальная аутентификация производится с использованием алгоритмов ГОСТ Р 34.10-2001/2012 и ГОСТ Р 34.11-94/2012.
Удостоверяющие Центры (УЦ) необходимые для создания и управление сертификатами пользователей и контроллеров домена:
- КриптоПро УЦ;
- УЦ совместимые с RFC 4491;
- Microsoft Enterprise Certificate Authority (CA) входящий в состав Windows Server 2000/2003/2008/2008R2/2012/2016.
КриптоПро Winlogon получает информацию о статусе сертификатов от:
- CDP (CRL Distribuition Point) по протоколам HTTP, LDAP и др.;
- AIA (Authority Information Access) по протоколу OCSP c использованием .
Поддерживаемые платформы
КриптоПро Winlogon сервер (KDC, Remote Desktop Server, Citrix) функционирует в следующих операционных системах (ОС):
- Windows 2000 Server;
- Windows Server 2003;
- Windows Server 2008;
- Windows Server 2008 R2;
- Windows Server 2012;
- Windows Server 2016.
КриптоПро Winlogon клиент (вход в домен) функционирует в следующих ОС:
- Windows 2000 (Professional/Server);
- Windows XP;
- Windows Server 2003;
- Windows Vista;
- Windows Server 2008;
- Windows 7;
- Windows Server 2008 R2;
- Windows 8;
- Windows 10;
- Windows Server 2012;
- Windows Server 2016.
Защищённый доступ к серверу терминалов поддерживается из следующих ОС:
- Windows 2000 (Professional/Server);
- Windows XP;
- Windows Server 2003;
- Windows Vista;
- Windows Server 2008;
- Windows 7;
- Windows Server 2008 R2;
- Windows 8;
- Windows Server 2012;
- Windows Server 2016.
Совместимые серверы
Результат аутентификации может быть использован на любом сервере, который предназначен для взаимодействия с доменом Windows или со сферой Kerberos V5. Методы настройки для некоторых прикладных серверов описаны по нижеследующим ссылкам.
- ;
- ;
- ;
- Microsoft Forefront TMG 2010;
- и многие другие.
- ;
- ;
- и многие другие.
Загрузка
При использовании КриптоПро CSP 3.6 и выше отдельная установка продукта КриптоПро Winlogon не требуется.
Для использовании КриптоПро Winlogon c КриптоПро CSP 3.0 необходимо скачать и установить дистрибутив по одной из приведенных ниже ссылок:
- Дистрибутив КриптоПро Winlogon (rus) (для использования с КриптоПро CSP 3.0)
- Дистрибутив КриптоПро Winlogon (eng) (для использования с КриптоПро CSP 3.0)
- Документация на КриптоПро Winlogon (для использования с КриптоПро CSP 3.0)
Срок использования пробной версии КриптоПро Winlogon ограничен 30 днями с момента установки. Для дальнейшей эксплуатации необходимо получить лицензию на использование продукта в ООО «КРИПТО-ПРО» или у официального дилера.
Winlogon.exe: что это за процесс и в чём причины его нагрузки на систему
Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей
Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера
И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.
Что это winlogon.exe в диспетчере задач
Опытные пользователи, прочитав название данного процесса, уже могут сделать вывод, что раз его название включает слово «win», то данный процесс относится к процессам ОС Windows, а раз в названии содержится лексема «logon» (log on), то процесс winlogon.exe обслуживает процедуру входа пользователя в систему.
При этом видно, что этот процесс winlogon может иметь лишь два статуса – системный и заслуживающий доверия процесс ОС Windows, или вирус, червь или шпионская программа с таким же именем
Поэтому очень важно идентифицировать процесс, и вопрос “что это winlogon.exe” очень актуален
Winlogon.exe что это такое
Процесс winlogon.exe начинает свою работу со стартом операционной системе, и присутствует во всех версиях ОС Виндовс – от XP до Windows 10. Он был создан Microsoft для улучшения работы операционной системы, и наделён обширным функционалом.
- Винлогон ответственен за функционирование и защиту рабочего стола.
- За работу компьютерной сети.
- За контроль скринсейвера.
- Загрузку пользовательских профилей.
- Он обеспечивает безопасность пользовательских данных, работает со стандартом SAS.
- Проводит верификацию копий ОС Виндовс.
- Поддерживает вход и выход пользователя из системы, а также ряд других функций.
Исполняемый файл процесса winlogon.exe обычно находится в общей директории ОС Виндовс, в папке System32. Прекращение работы данного файла (а также удаление его) может иметь самые фатальные последствия для вашей операционной системы.
Данный процесс запускается процессом smss.exe при загрузке ОС, а затем он сам запускает процессы lsass.exe и services.exe.
Если у вас, как и у меня процесс Svchost.exe периодически грузит процессор, изучите простые рекомендации по исправлению тут.
Это интересно: Графики и диаграммы в Microsoft Excel (видео)
Краткий обзор
Winlogon запускается процессом SMSS вместе с процессом CSRSS. Для реализации диалога с пользователем Winlogon применяет библиотеку GINA. Winlogon обрабатывает нажатие Ctrl-Alt-Del и Ctrl-Shift-Esc. winlogon.exe подгружает и выполняет код из библиотек Winlogon notification packages. Такие библиотеки применяются системой, программами и вирусами. Они не поддерживаются в Windows Vista (подробнее). Имя winlogon.exe используют некоторые вирусы, поэтому подозрительными являются все файлы с таким именем, находящиеся в папке, отличной от system32 и dllcache.
Диспетчер задач вызывается Winlogon при нажатии особой комбинации клавиш Ctrl-Shift-Esc. Также на этой картинке виден запущенный процесс Winlogon.exe
Windows Logon может быть вирусом
Это нормально, что winlogon.exe всегда запущен в вашей системе. Настоящий winlogon.exe находится в каталоге C:\Windows\System32 вашей системы. Чтобы проверить это, щелкните правой кнопкой мыши по процессу в Диспетчере задач и выберите пункт Открыть расположение файла.
Если вы видите, что winlogon.exe файл находится в любой другой директории, у вас есть проблема. Вирус или другой тип вредоносного ПО может замаскировать себя как этот процесс в попытке скрыться в фоновом режиме. Активное использование ресурсов процессора или памяти является ещё одним признаком заражения этого процесса.
Как удалить троян?
Теперь разберемся с удалением вирусных угроз. Исходим из того, что вирус при выдаче сообщение о том, что процесс Winlogon.exe инициировал действие включения питания, выявлен. Как его нейтрализовать? Несмотря на свою относительную по современным меркам неактуальность, обосновываются такие угрозы в системе достаточно глубоко, и далеко не все антивирусные пакеты способны не то что их обезвредить, но и даже обнаружить. В любом случае в качестве неотложной меры используйте какой-нибудь портативный сканер вроде Dr. Web CureIt!, предварительно обновив для него антивирусные базы.
Если результат будет нулевым, воспользуйтесь дисковой утилитой Kaspersky Rescue Disk, при помощи которой нужно загрузиться со съемного носителя, на котором она записана, а затем произвести сканирование системы еще до того, как стартует Windows.
Но давайте представим себе наихудшую ситуацию, когда угроза обнаружена не была, но сообщения о том, что процесс Winlogon.exe инициировал действие по отключению или рестарту компьютера, выдаются с завидной регулярностью. В этом случае придется заняться удалением вируса вручную. Прежде чем удалить папку и файлы вируса, следует зайти в реестр (regedit) и обратиться к ветке HKLM и через раздел SOFTWARE добраться до каталога автоматического обновления (AutoUpdate). По идее, в нем будет расположена подпапка RebootRequired.
Ее вместе со всем содержимым нужно удалить.
Теперь следует перезагрузить систему в безопасном режиме, затем удалить все файлы из папок TEMP, а потом в редакторе реестра перейти к ветке HCU. Через раздел SOFTWARE нужно найти следующие каталоги и выполнить удаление таких ключей:
- папка Run – ключ “Firewall auto setup”=”%windir%\winlogon.exe”;
- папки IEDesktop – “host”=”. “;
- папки IESecurity – “host”=”. “.
В приведенном примере параметр “. ” обозначает любое вписанное там значение. По завершении всех действий теперь можно удалить компоненты вируса в «Проводнике» и выполнить полную перезагрузку компьютера.
Загрузите и замените файл winlogon.exe
Последнее решение — вручную загрузить и заменить файл winlogon.exe в соответствующей папке на диске. Выберите версию файла, совместимую с вашей операционной системой, и нажмите кнопку «Скачать». Затем перейдите в папку «Загруженные» вашего веб-браузера и скопируйте загруженный файл winlogon.exe.
Перейдите в папку, в которой должен находиться файл, и вставьте загруженный файл. Ниже приведен список путей к каталогу файлов winlogon.exe.
- Windows 10: C:\Windows\System32\
- Windows 8.1: C:\Windows\System32\
- Windows 8: 1: C:\Windows\System32\
- Windows 7: C:\Windows\System32\
- Windows Vista: C:\Windows\System32\
- Windows Vista: C:\Windows\System32\
- Windows XP: —
Если действия не помогли решить проблему с файлом winlogon.exe, обратитесь к профессионалу. Существует вероятность того, что ошибка (и) может быть связана с устройством и, следовательно, должна быть устранена на аппаратном уровне. Может потребоваться новая установка операционной системы — неправильный процесс установки системы может привести к потере данных.
Процесс Winlogon.exe инициировал действие выключения питания: почему?
Да, действительно, проблемы с питанием являются самыми распространенными. Обычные вирусы себя так не ведут. Но в данном случае мы имеем дело с необычными угрозами. Несмотря на то, что они появились очень давно (чуть ли не на заре развития первых компьютеров на основе Windows) и на сегодняшний день, в общем-то, морально устарели, тем не менее в последнее время что-то замечена их подозрительно высокая активность. Но не только вирусы могут вызывать выключение или перезагрузку.
И в самой операционной системе хватает настроек, которые могут устанавливать автоматический режим управления электропитанием, что обычно связано с восстановлением после каких-то сбоев.
Особенности
Процесс winlogon.exe невозможно завершить на пользовательском уровне, так как он является системным. От его присутствия зависит работоспособность большинство модулей ОС.
Управление такими процессами осуществляется на уровне ядра со знаниями системного программирования. Однако, если вам все же удастся завершить winlogon.exe, то работа Windows будет нестабильной вплоть до полной остановки, ввиду чего придется перезапустить компьютер.
Также особенностью этого процесса является управление системными сочетаниями клавиш. В отличие от GNU/Linux, в Windows невозможно штатными средствами переназначать клавиши по типу «Alt + Tab» (смена активного окна) или «Ctrl + Alt + Delete» (блокировка экрана).
Перехватчики GINA
Ловушка GINA — это заглушка GINA, которая в своей реализации функции влксинитиализе заменяет указатель на функцию поддержки влксдиалогбокспарам в таблице диспетчеризации указателем на собственную реализацию функции влксдиалогбокспарам . В результате каждый раз, когда ранее установленная GINA (обычно MsGina.dll) вызывает функцию влксдиалогбокспарам , вызывается функция, реализованная обработчиком GINA.
Функция влксдиалогбокспарам , реализованная с помощью ловушки GINA, может заменить процедуру обратного вызова DialogProc , которая реагирует на определенное событие диалогового окна.
Это дает обработчику GINA полный контроль над внешним видом и поведением всех диалоговых окон, создаваемых MsGina.dll.
Дополнительные сведения о создании ловушки GINA см. в образце ловушек GINA в \ каталоге Samples \ Security \ GINA \ Гинахук в установке пакета Platform SDK.
Примечание
Все вызовы между GINA и Winlogon должны находиться в одном потоке.
Как удалить троян?
Теперь разберемся с удалением вирусных угроз. Исходим из того, что вирус при выдаче сообщение о том, что процесс Winlogon.exe инициировал действие включения питания, выявлен. Как его нейтрализовать? Несмотря на свою относительную по современным меркам неактуальность, обосновываются такие угрозы в системе достаточно глубоко, и далеко не все антивирусные пакеты способны не то что их обезвредить, но и даже обнаружить. В любом случае в качестве неотложной меры используйте какой-нибудь портативный сканер вроде Dr. Web CureIt!, предварительно обновив для него антивирусные базы.
Если результат будет нулевым, воспользуйтесь дисковой утилитой Kaspersky Rescue Disk, при помощи которой нужно загрузиться со съемного носителя, на котором она записана, а затем произвести сканирование системы еще до того, как стартует Windows.
Но давайте представим себе наихудшую ситуацию, когда угроза обнаружена не была, но сообщения о том, что процесс Winlogon.exe инициировал действие по отключению или рестарту компьютера, выдаются с завидной регулярностью. В этом случае придется заняться удалением вируса вручную. Прежде чем удалить папку и файлы вируса, следует зайти в реестр (regedit) и обратиться к ветке HKLM и через раздел SOFTWARE добраться до каталога автоматического обновления (AutoUpdate). По идее, в нем будет расположена подпапка RebootRequired.
Ее вместе со всем содержимым нужно удалить.
Теперь следует перезагрузить систему в безопасном режиме, затем удалить все файлы из папок TEMP, а потом в редакторе реестра перейти к ветке HCU. Через раздел SOFTWARE нужно найти следующие каталоги и выполнить удаление таких ключей:
- папка Run — ключ «Firewall auto setup»=»%windir%\\winlogon.exe»;
- папки IE\Desktop — «host»=»….»;
- папки IE\Security — «host»=»….».
В приведенном примере параметр «….» обозначает любое вписанное там значение. По завершении всех действий теперь можно удалить компоненты вируса в «Проводнике» и выполнить полную перезагрузку компьютера.
Можно ли отключить winlogon.exe?
Вы не можете отключить winlogon.exe. Это критический для работы Windows процесс и он должен работать постоянно. В любом случае нет причин отключать его, поскольку он использует небольшое количество ресурсов в фоновом режиме для выполнения критически важных функций системы.
Если вы попытаетесь завершить процесс из «Диспетчера задач», вы увидите сообщение о том, что завершение процесса приведет к тому, что Windows станет непригодной или отключится. Если вы все равно завершите процесс, ваш экран станет черным, и ваш ПК перестанет отвечать на Ctrl+Alt+Delete. Для продолжения работы необходимо перезагрузить компьютер с помощью кнопки питания.
Windows всегда будет запускать этот процесс при запуске ПК. Если Windows не может запустить winlogon.exe или другие критически важные процессы пользовательской системы, ваш компьютер загрузится с синим экраном и кодом ошибки 0xC000021A.
Несколько слов напоследок
Это очень кратко о процессе Winlogon. По понятным причинам четкие механизмы функционирования этой службы не рассматривались, поскольку их углубленное описание рядовому пользователю совершенно ничего не даст. Но самое главное, что следует четко усвоить, — завершать этот процесс в принудительном порядке с использованием «Диспетчера задач» нельзя ни при каких обстоятельствах, если только речь не идет о вирусах. Деактивация оригинального компонента приведет «всего лишь» к появлению синего экрана. Аналогичная ситуация может наблюдаться и в случае завершения не того процесса, если их несколько. Поэтому предварительно следует произвести определение месторасположения файлов.
Winlogon.EXE: что за процесс, и почему он грузит систему? на News4Auto.ru.
Наша жизнь состоит из будничных мелочей, которые так или иначе влияют на наше самочувствие, настроение и продуктивность. Не выспался — болит голова; выпил кофе, чтобы поправить ситуацию и взбодриться — стал раздражительным. Предусмотреть всё очень хочется, но никак не получается. Да ещё и вокруг все, как заведённые, дают советы: глютен в хлебе — не подходи, убьёт; шоколадка в кармане — прямой путь к выпадению зубов. Мы собираем самые популярные вопросов о здоровье, питании, заболеваниях и даем на них ответы, которые позволят чуть лучше понимать, что полезно для здоровья.
Заключение
Winlogon notification package может пригодиться в совершенно неожиданных местах. Например, если из системной службы необходимо получить имена пользователей, работающих в системе. Все, что нужно – это написать и зарегистрировать в системе dll, которая по запросу передаст данные в службу (или сама будет передавать эти данные в ответ на некоторые нужные события).
Надеюсь, что данная статья расширит знания читателя об интерфейсах Winlogon, а также поможет использовать полученные знания на практике.
Эта статья опубликована в журнале
RSDN Magazine
#1-2006. Информацию о журнале можно найти здесь