Читайте за что отвечает процесс «winlogon.exe» и что будет если его отключить.
Процесс «winlogon.exe» является важной частью операционной системы Windows. Этот процесс всегда работает в фоновом режиме в Windows, и он отвечает за некоторые важные системные функции. Например: «svchost.exe», «dwm.exe», «ctfmon.exe», «mDNSResponder.exe», «rundll32.exe», «Adobe_Updater.exe» и многие другие. Далее мы расскажем о нём поподробнее.
Перейти к просмотру
Как сбросить пароль администратора в Windows 10, 8, 7 на компьютере или ноутбуке 🔐🔥🖥️
Содержание
- Что же такое Windows Logon Application?
- Могу ли я отключить его?
- Может ли этот процесс стать вирусом?
- Вопросы и ответы
- Комментарии
Что же такое Windows Logon Application?
Процесс «winlogon.exe» является критически важной частью операционной системы Windows, и вы не сможете получить доступ к ОС без этого процесса.
Он выполняет множество важных задач, связанных с авторизацией в ОС Windows. Например, при входе в систему «winlogon.exe» отвечает за загрузку профиля пользователя в реестр. Это позволяет программам использовать ключи реестра «HKEY_CURRENT_USER», различные для каждой учетной записи пользователя.
«winlogon.exe» имеет специальный функционал в операционной системе, а также перехватывает нажатие комбинации клавиш «Ctrl + Alt + Delete». Это опция, «secure attention sequence» (SAS) – «последовательность внимания к безопасности», то есть особая комбинация клавиш, которую пользователь обязан набрать на клавиатуре перед входом в операционную систему. Нажатие этой комбинации всегда перехватывается процессом «winlogon.exe», что гарантирует вам безопасный и защищённый «Вход в систему», где другие программы не смогут проконтролировать введенные вами данные или выдать ложное диалоговое окно входа в ОС.
Приложение «Windows Logon» также отслеживает активность клавиатуры и мыши, и отвечает за блокировку вашего ПК и запуск хранителей экрана после периода бездействия.
Таким образом, «winlogon.exe» должен постоянно продолжать работу в фоновом режиме, являясь очень важной частью процесса авторизации в системе. На сайте компании «Microsoft» вы сможете найти более подробный технический список возможностей процесса «Winlogon», с расширенным описанием оных.
Могу ли я отключить его?
Вы не cможете продолжить работу в операционной системе Windows, отключив этот процесс. Это важная часть Windows, и он должен работать постоянно. К тому же, у вас не найдётся причин отключать его, поскольку он использует крайне маленькое количество ресурсов ПК в фоновом режиме, но при этом выполняет критически важные функции для системы.
Если вы попытаетесь завершить процесс из «Диспетчера задач», то увидите сообщение о том, что завершение процесса «может привести к нестабильной работе системы». Если вы всё же нажали «Завершить процесс», то ваш экран станет черным, и ваш ПК даже не ответит на «Ctrl + Alt + Delete». Именно процесс «winlogon.exe» отвечает за обработку это комбинации клавиш, поэтому восстановление вашего сеанса работы с ОС будет невозможно. Если система не сможет перезапустить его сразу же, то перезагрузите компьютер.
ОС Windows всегда запускает этот процесс при включении ПК. Если это действие не удалось, то компьютер выдаст синий экран с кодом ошибки «0xC000021A», обычно именуемый как «Blue screen of Death» (BSoD) – «синий экран смерти».
Перейти к просмотру
Как отключить пароль при входе Windows 10, 8, 7 или отключить пароль учетной записи 🔥🔐💻
Может ли этот процесс стать вирусом?
Обычно процесс «winlogon.exe» постоянно запущен в вашей операционной системе. Исполняемый файл «winlogon.exe» находится в каталоге «C:\Windows\System32» на системном диске с установленной ОС. Чтобы проверить его подлинность, щелкните на него правой кнопкой мыши в диспетчере задач и выберите «Открыть расположение файла».
Проводник должен открыть каталог «C:\Windows\System32» (проверьте этот адрес в строке адреса), и выделить файл «winlogon.exe».
Если кто-то вам сказал или вы где-то прочитали, что файл winlogon.exe, расположенный в данном каталоге, является вирусом, это не правда. Этот файл должен быть запущен на каждом компьютере под ОС Windows и находится именно здесь. Если вы удалите его, то скорее всего вам придётся заново переустанавливать и настраивать систему.
Какие-то техники из технической поддержки указали вам на «winlogon.exe» или любые другие важные системные файлы и запущенные процессы, и сказали: «Если вы видите эти процессы на вашем ПК, то у вас есть вредоносное ПО», проверьте систему антивирусом, но эти процессы и должны быть запущены, и это нормально. Не поддавайтесь на провокации мошенников!
С другой стороны, если вы найдёте файл «winlogon.exe», который расположен в любом другом каталоге на вашем ПК, то скорее всего у вас проблема. Вирусы или другой тип вредоносного ПО могут маскироваться под критически важные системные процессы, поскольку они пытаются скрыться от ваших глаз и продолжать работать в фоновом режиме. Высокий уровень использования ресурсов компьютера (процессора или памяти) для процесса «winlogon.exe» также является косвенным признаком того, что с ним что-то не так. Этот процесс не должен использовать много ресурсов «CPU» или оперативной памяти в обычных ситуациях.
В таких случаях запустите полное сканирование системы с помощью вашего антивирусного программного обеспечения. Оно должно удалить обнаруженные вредоносные программы или разного рода нелегальные надстройки в системе.
Стабильная работа операционной системы Windows достигается за счёт функционирования множества процессов, некоторые из которых просто скрыты от глаз пользователей. Подобная «скрытность» характеризуется тем, что оператору компьютера незачем вмешиваться в работу данных системных процессов, что и объясняет нежелание пользователей обращать внимание на показатели активности в «Диспетчере задач». Но происходит это лишь до поры до времени, пока штатная работа Windows не будет нарушена, и тогда в поисках источников чрезмерной нагрузки каждый пользователь обращается к информации «Диспетчера задач» и видит, что некоторые процессы оказывают особое влияние на быстродействие компьютера. И об одном из таких «нарушителей спокойствия» и пойдёт речь в настоящей статье.
Что это
Итак, процесс «Winlogon.exe» или «Windows Logon Application» — это системный компонент, имеющий обширный функциональный набор для работы с учётной записью пользователей. Структура данного компонента и все его полномочия имеют достаточно сложную структуру, разбираться в дебрях которой просто не имеет смысла. Для понимания его важности можно максимально упростить список его дел и выделить из них следующие пункты:
- Отвечает за сохранность рабочего стола. Грубо говоря, каждый раз, когда пользователь видит сообщение о необходимости ввести пароль для входа в свою учётную запись, это как раз и свидетельствует об успешности работы «Winlogon».
- Контроль за целостностью и сохранностью пользовательских данных, «сотрудничая» со стандартом «SAS».
- Контроль за активностью сетевых подключений.
- Подтверждение правомерности использования версии операционной системы.
- Обеспечение должного функционирования скринсерверов (при активных режимах работы).
Учитывая важность подобного функционала следует отметить, а также принимая во внимание, что исполняемый файл рассматриваемого процесса находится в системном каталоге — C:\Windows\System32, его несанкционированная деактивация может привести к кратковременным или длительным сбоям в работе операционной системы. Поэтому, если вы стали свидетелями, что в «Диспетчере задач» у «Winlogon.exe» или у «Программа входа в систему Windows» (именно таким может быть его название) показатели создаваемой нагрузки выделены красным, ни в коем случае нельзя собственноручно завершать его работу, пока не будут выяснены причины сей ситуации.
Почему создаётся нагрузка
Ответ прост. В работе «Winlogon» просто не может создаваться подобная нагрузка, которая бы самым непосредственным образом влияла на качество работы операционной системы. Если такая нагрузка есть, то её виновника следует искать в возможном заражение компьютера вирусным программным обеспечением. Ни для кого не станет секретом, что различные вирусы очень любят притворяться системными компонентами, так как «подобная оболочка» создаёт хороший гарант их неприкосновенности. Это утверждение самым непосредственным образом относится и к рассматриваемому в настоящей статье компоненту. Скрываться вирус под видом «Winlogon» может очень уместно и без тщательного изучения выявить «подмену» крайне проблематично. Основываться в своих подозрениях следует на следующих моментах:
Этой информации достаточно для того, чтобы убедиться в наличие «пробелов» в безопасности вашей копии Windows.
Заключение
После выявления нарушителя его требуется обезвредить специализированным антивирусным программным обеспечением. Желательно использовать сторонние утилиты, отличающиеся от представленного у вас на компьютере антивируса, так как данный защитник не справился со своей работой и проглядел «злодея». В качестве совета можно отметить такие утилиты как «Dr.Web CureIt!», «AdwCleaner» и «Malwarebytes». Последнее, в чём будет необходимо убедиться, – это то, насколько качественно работает установленный антивирус, возможно, ему требуется обновление или больше полномочий для функционирования.
Эта статья является частью нашей текущей серии, объясняющей различные процессы, обнаруженные в диспетчере задач, такие как svchost.exe, dwm.exe, ctfmon.exe, mDNSResponder.exe, rundll32.exe, Adobe_Updater.exe и многие другие. Не знаете, что это за услуги? Лучше начните читать!
Что такое Windows Logon Application?
Процесс winlogon.exe является очень важной частью операционной системы Windows, и Windows без него будет недоступна.
Этот процесс выполняет множество важных задач, связанных с процессом входа Windows. Например, при входе в систему процесс winlogon.exe отвечает за загрузку профиля пользователя в реестр. Это позволяет программам использовать ключи под HKEY_CURRENT_USER, которые различаются для каждой учетной записи пользователя Windows.
Приложение Windows Logon также отслеживает активность клавиатуры и мыши и отвечает за блокировку вашего ПК и запуск хранителей экрана после периода бездействия.
Таким образом, Winlogon является важной частью процесса входа в систему и должен оставаться в фоновом режиме. Microsoft также предоставляет более подробный, технический список обязанностей Winlogon, если вы заинтересованы.
Могу ли я отключить его?
Если вы попытаетесь завершить процесс из Диспетчера задач, вы увидите сообщение о том, что завершение процесса «приведет к тому, что Windows станет непригодной или отключится». Если вы обходите это сообщение, ваш экран станет черным, и ваш ПК даже не ответит на Ctrl + Alt + Delete. Процесс winlogon.exe отвечает за обработку Ctrl + Alt + Delete, поэтому восстановление вашего сеанса невозможно, как только вы его остановили. Чтобы продолжить, перезагрузите компьютер.
Windows всегда запускает этот процесс при запуске ПК. Если Windows не может запустить winlogon.exe, csrss.exe или другие критически важные процессы пользовательской системы, ваш компьютер будет синим экраном с кодом ошибки 0xC000021A.
Может ли это быть вирусом?
Обычно процесс winlogon.exe всегда работает в вашей системе. Настоящий файл winlogon.exe находится в каталоге C: Windows System32 в вашей системе. Чтобы проверить подлинность приложения Windows Logon, щелкните его правой кнопкой мыши в диспетчере задач и выберите «Открыть расположение файла».
Если кто-то сказал вам, что файл winlogon.exe, расположенный в C: Windows System32, является злонамеренным, это мистификация. Это законный файл, и его удаление может повредить установку Windows.
Техники технической поддержки указали на winlogon.exe и другие важные системные процессы и сказали: «Если вы видите, что это работает на вашем ПК, у вас есть вредоносное ПО». На каждом ПК работает приложение для входа в Windows, и это нормально. Не поддавайтесь их мошенникам!
Если вы видите файл winlogon.exe в другом каталоге или если вы просто обеспокоены тем, что вредоносная программа может быть запущена на вашем ПК, вы должны запустить полное сканирование системы с помощью вашего предпочтительного антивирусного программного обеспечения. Ваше программное обеспечение безопасности удалит обнаруженные вредоносные программы.
Рекомендуемые:
Что такое песочница, и почему это работает на моем Mac?
Вы заметили что-то под названием «песочница», просматривая Activity Monitor, и теперь вы здесь. Так что это за штука?
Что такое Trustd, и почему это работает на моем Mac?
Таким образом, вы нашли что-то под названием trustd, работающее на вашем Mac, и теперь интересно, может ли это быть … доверенным. Хорошей новостью является то, что вам не о чем беспокоиться: это часть macOS.
Что такое, «Теория», «И почему это работает на моем Mac»?
Таким образом, вы видели что-то, называемое «Коротко» при просмотре Activity Monitor. Что это делает, и может ли это быть проблемой?
Что такое «dbfseventsd» и почему это работает на моем Mac?
Просматривая Activity Monitor, вы замечаете что-то под названием «dbfseventsd». Как вы это произносите? Он работает три раза: два раза в корневой учетной записи и один раз. Что это?
Что такое «Antimalware Service Executable» и почему это работает на моем ПК?
Windows 10 включает Windows Defender, встроенный антивирус Microsoft. Процесс «Исполняемый файл службы защиты от вредоносных программ» — это фоновый процесс Защитника Windows. Эта программа также известна как MsMpEng.exe и является частью операционной системы Windows.
WiFiGid приветствует вас! Эту статью посвятим разбору WINLOGON.exe. Узнаем что это за процесс, нужно ли его удалять, где он находится, может ли за ним прятаться страшный и опасный вирус. Такой себе классический джентельменский чемоданчик для любого непонятного процесса на Windows. Предлагаю сразу же перейти к рассмотрению!
Если у вас появились какие-то вопросы или есть что-то интересное, чем вы бы хотели поделиться в нашем сообществе – оставьте комментарий под этой статье. Мы будем очень рады!
Содержание
- Что это за процесс?
- Связи с другими процессами
- Где находится на диске?
- Как определить вирус?
- Видео по теме
- Задать вопрос автору статьи
Что это за процесс?
WINLOGON.exe – стандартный процесс (программа) всех версий Windows, который отвечает за вход и выход пользователя в систему (как за сам процесс, так и за отображение этих красивых окошек с пользователями). Т.е. даже если вы не видите экран входа при загрузке, считаем что на любом включении вы все равно сидите в системе под каким-то своим пользователем. Вот за это и отвечает winlogon.exe.
Т.е. в стандартных ситуациях – это обычный правильный процесс, который не нужно трогать, а то может вылететь синий экран.
Вот так в списке процессов выглядит обычный правильный winlogon. На самом деле объем памяти от разных версий Windows может расходиться, но обычно он много не занимает:
Связи с другими процессами
Попробуем распутать цепочку связей нашего процесса, кому-то будет полезным:
- SMSS.EXE (диспетчер сеанса) запускает WINLOGON.EXE.
- WINLOGON.EXE запускает LSASS.EXE (сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (диспетчер управления службами).
Где находится на диске?
Как мы выяснили выше, файл WINLOGON.exe загружается самостоятельно при старте с помощью SMSS.EXE. Физический путь WINLOGON в системе:
C:\Windows\System32
Очень редко (но бывает):
C:\Windows\dllcache
Как определить вирус?
Периодически под процесс WINLOGON маскируются разные вирусы. Причем процесс настолько популярный среди разработчиков зловредов, что какое-то отдельное поведение заразы вычислить сложно:
- Процесс может ненормально грузить процессор, диск, видеокарту – это видно сразу в диспетчере устройств (Ctrl + Shift + Esc).
- Обращаем внимание, что процесс должен быть запущен от имени «СИСТЕМА» («SYSTEM»), а не какого-то другого пользователя (например, вашего).
- Проверяем расположение файла процесса (щелкаем по нему правой кнопкой мыши и выбираем пункт «Открыть расположение файла»). Правильные пути расположения писал в разделе выше.
- Проверяем правильное название. В своей практике встречал winlogSon и близки варианты написания.
Если что-то не сходится – прогоняем компьютер любым нормальным антивирусом. Скорее всего простое удаление файла и завершение процесса сильно не поможет (хотя можно и попробовать, главное не наломайте дров), т.к. нормальный вирус такое восстанавливает, так что в каждой конкретной ситуации уже нужно разбираться отдельно.
Видео по теме
Windows Logon application, also known as winlogon.exe is the internal process in Windows, one of dozens which are present in the latest versions of OS by Microsoft. Sometimes, such viruses as trojan-miners mimic this process. In this post, you will see how to distinguish a malicious counterfeit from a legitimate process, and also the detailed information about its purpose.
Winlogon.exe process is an important internal app that is responsible for a wide variety of functions. First implementation of Windows Logon was present in the operating system since Windows 2000. As the time passed, its functions became more wide. Nowadays, this process is needed to perform the following system functions:1
Can I disable winlogon.exe?
All these functions are vital for Windows to operate properly. The suspending of Windows Logon will lead to a system crash, and you will not be able to make a step backwards – Ctrl+Alt+Del combination is not working since the winlogon process is not running. The only way to bring the system back to life is to reboot the PC, but the Windows Logon will be running, again. It has a very close relations with crss.exe – another process of Windows. Moreover, you are not allowed to stop this process, because it belongs to the deep system processes. If you still want to do this action, you need to have a SE_DEBUG privilege on your account, otherwise your attempt will be canceled with a sign “Not enough rights for managing the system components”.
The times when Windows processes may be disabled to increase the system performance have passed long ago. When Windows XP was the last actual OS version, computers were quite weak, and their upgrade was quite expensive, disabling several services could really make your PC faster without any significant problems. Nowadays, such tricks can make things even worse.
Can the Windows Logon process be malicious?
All legitimate system processes are listed in the Windows Processes category in Task Manager. If you see a duplicate of the process from Windows processes in the list of background processes, it may be a malware. To check out the program the process belongs to, click it with a right mouse button, and choose the “Open file location” option.
The example of proper location of Windows Logon app
If this file is stored somewhere in the Windows/System32 folder, it is 100% legit. Don’t be scared with a massive number of processes in the background – the majority of them are needed to decrease the time of programs opening.
However, if this process is located among the users processes and “Open file location” leads to the unknown directory, it is recommended to check your PC with antimalware software. My choice for this case is GridinSoft Anti-Malware.
Removing the viruses with GridinSoft Anti-Malware
Frequently Asked Questions
Can I just delete the process from the root directory?
No. In case if the process belongs to the legitimate system element, you will not be able to edit the root directory of the system, where it is stored, without granting yourself permission for this action. And its deletion will surely lead to a system crash without a possibility of loading the system back, because the crucial component is absent.
Is it possible to decrease the hardware consumption of this process?
Winlogon.exe consumes literally nothing, so you will likely see no occasions when there is a need to make it less greedy with resources. However, if you see that it takes more than 20-30% of your CPU and the same amount of RAM, it is likely a virus. Perform the guide I wrote above.
How can I know this process is malicious without checking its root directory?
As it was mentioned in the previous question, the CPU/RAM consumption of the original process is very low. So, the winlogon.exe that uses a lot of hardware capacity is definitely a virus. Another way to understand that this process belongs to a malicious program is its location inside of the Task Manager. System processes are listed in the corresponding thread, so the Windows Logon application among the user’s background processes is a sign of malware presence.
References
- The full article about winlogon.exe on Wikipedia
Article
Windows Logon application. What is the purpose of winlogon.exe in Windows?
Description
Windows Logon is a critical system process that is responsible for a wide range of functions. Its disabling leads to system failure, so winlogon.exe is among the favorite processes to be counterfeited by malware creators.
Author
Wilbur Woodham
Copyright
HowToFix.Guide
You may also like
About the author
Wilbur Woodham
I was a technical writer from early in my career, and consider IT Security one of my foundational skills. I’m sharing my experience here, and I hope you find it useful.