WINLOGON.EXE - це процес, без якого неможливий запуск ОС Windows і її подальше функціонування. Але іноді під його личиною криється вірусна загроза. Давайте розберемося, в чому полягають завдання WINLOGON.EXE і яка небезпека може виходити від нього.
Відомості про процес
Даний процес можна завжди побачити, запустивши «Диспетчер завдань» у вкладці «Процеси».
Які ж функції він виконує і навіщо потрібен?
Основні завдання
Перш за все, зупинимося на основних завданнях даного об'єкта. Його першочерговим функцією є забезпечення входу в систему, а також виходу з неї. Втім, це неважко зрозуміти навіть з самого його найменування. WINLOGON.EXE називають також програмою входу в систему. Вона відповідає не тільки за сам процес, а й за діалог з користувачем під час процедури входу через графічний інтерфейс. Власне, заставки при вході і виході з Windows, а також вікно при зміні поточного користувача, які ми бачимо на екрані, є продуктом діяльності зазначеного процесу. У коло відповідальності WINLOGON входить відображення поля для введення пароля, а також перевірка достовірності введених даних, якщо вхід в систему під конкретним ім'ям користувача запаролено.
Запускає WINLOGON.EXE процес SMSS.EXE (Диспетчер сеансу). Він продовжує функціонувати в тлі протягом усього сеансу. Після цього вже сам активоване WINLOGON.EXE запускає LSASS.EXE (Сервіс перевірки автентичності локальної системи безпеки) і SERVICES.EXE (Диспетчер управління службами).
Для виклику активного вікна програми WINLOGON.EXE, в залежності від версії Віндовс, застосовуються поєднання Ctrl + Shift + Esc або Ctrl + Alt + Del. Також додаток активує вікно при запуску користувачем виходу з системи або при гарячої перезавантаження.
При аварійному чи примусовому завершення WINLOGON.EXE різні версії Windows реагують по-різному. У більшості випадків це призводить до синього екрану. Але, наприклад, в Windows 7 відбувається тільки вихід із системи. Найбільш частою причиною аварійної зупинки процесу є переповненість диска C. Після його очищення, як правило, програма входу в систему працює нормально.
Розміщення файлу
Тепер давайте з'ясуємо, де фізично розміщений файл WINLOGON.EXE. Це нам в майбутньому знадобиться для відмежування даного об'єкта від вірусного.
- Для того, щоб визначити місце розташування файлу за допомогою Диспетчера завдань, перш за все потрібно переключитися в ньому в режим відображення процесів всіх користувачів, зробивши натиск на відповідну кнопку.
- Після цього натискаємо правою кнопкою мишки по найменуванню елемента. У розкрився переліку вибираємо «Властивості».
- У вікні властивостей перейдіть у вкладку «Загальні». Навпроти напису «Розташування» знаходиться адресу розміщення шуканого файлу. Практично завжди цю адресу наступний:
C: \ Windows \ System32
У дуже рідкісних випадках процес може посилатися на наступну директорію:
C: \ Windows \ dllcache
Крім цих двох директорій більше ніде розміщення шуканого файлу неможливо.
Крім того, з Диспетчера завдань існує можливість перейти в безпосереднє місце розташування файлу.
- У режимі відображення процесів всіх користувачів клацніть по елементу правою кнопкою миші. У контекстному меню виберіть «Відкрити місце зберігання файлу».
- Після цього відкриється Провідник в тій директорії вінчестера, де розташований шуканий об'єкт.
Підміна шкідливою програмою
Але іноді спостерігається в диспетчері завдань процес WINLOGON.EXE може виявитися шкідливою програмою (вірусом). Подивимося, як відрізнити справжній процес від підробленого.
- Перш за все, потрібно знати, що в диспетчері завдань може бути тільки один процес WINLOGON.EXE. Якщо ви спостерігаєте більше, то один з них вірус. Зверніть увагу, щоб навпроти досліджуваного елемента в полі «Користувач» стояло значення «Система» ( «SYSTEM»). Якщо процес запускається від імені будь-якого іншого користувача, наприклад від імені поточного профілю, то можна констатувати факт, що ми маємо справу з вірусною активністю.
- Також перевірте місце розташування файлу будь-яким з тих способів, які були вказані вище. Якщо воно відрізняється від тих двох варіантів адрес для даного елемента, які допускаються, то, знову ж таки, перед нами вірус. Досить часто вірус знаходиться в корені каталогу «Windows».
- Вашу настороженість повинен викликати факт високого рівня використання ресурсів системи даним процесом. У нормальних умовах він практично неактивний і активізується тільки в момент входу / виходу з системи. Тому споживає вкрай мало ресурсів. Якщо WINLOGON починає вантажити процесор і споживати велику кількість оперативки, то ми маємо справу або з вірусом або з якимось збоєм в системі.
- Якщо хоча б один з перерахованих підозрілих ознак є в наявності, то скачайте і запустіть на ПК лікує утиліту Dr.Web CureIt. Вона просканує систему і в разі виявлення вірусів зробить лікування.
- Якщо утиліта не допомогла, але ви бачите, що об'єктів WINLOGON.EXE в диспетчері завдань два або більше, то зупиніть той об'єкт, який не відповідає стандартам. Для цього клацніть по ньому правою кнопкою миші і виберіть «Завершити процес».
- Відкриється маленьке віконце, де ви повинні будете підтвердити свої наміри.
- Після того, як процес завершений, перейдіть в папку розташування того файлу, на який він посилався, клацніть по цьому файлу правою кнопкою мишки і виберіть в меню «Видалити». Якщо система того зажадає, підтвердіть свої наміри.
- Після цього почистіть реєстр і повторно перевірте комп'ютер утилітою, так як досить часто файли такого типу завантажуються за допомогою команди з реєстру, прописаної вірусом.
Якщо не вдається зупинити процес або знести файл, то зайдіть в систему в безпечному режимі і виконайте процедуру видалення.
Як бачимо, WINLOGON.EXE грає важливу роль у функціонуванні системи. Він безпосередньо відповідає за вхід і за вихід з неї. Хоча, майже що весь час, поки користувач працює на ПК, зазначений процес знаходиться в пасивному стані, але при його примусовому завершення продовження роботи в Віндовс стає неможливим. Крім того, існують віруси, які мають аналогічне ім'я, маскуючись під даний об'єкт. Їх важливо в максимально короткі терміни обчислити і знищити.