Formáty souborů

Proces WINLOGON.EXE

WINLOGON.EXE je proces, bez kterého nelze spustit operační systém Windows a jeho další provoz. Ale někdy pod jeho podobou leží hrozba viru. Zjistíme, jaké jsou úkoly programu WINLOGON.EXE a jaké nebezpečí může z toho plynout.

Informace o procesu

Tento proces lze vždy vidět spuštěním Správce úloh na kartě "Procesy" .

Proces WINLOGON.EXE ve Správci úloh systému Windows

Jaké funkce funguje a proč?

Hlavní úkoly

Nejdříve se zamyslíme nad hlavními úkoly tohoto objektu. Jeho primární funkcí je poskytnout přístup k systému a jeho opuštění. To však není těžké pochopit ani ze samotného jména. WINLOGON.EXE se také nazývá přihlašovací program. Je odpovědný nejen za samotný proces, ale také za dialog s uživatelem při přihlašování prostřednictvím grafického rozhraní. Vlastně spořiče obrazovky při vkládání a ukončení systému Windows, stejně jako okno při změně aktuálního uživatele, které vidíme na obrazovce, jsou výsledkem činnosti zadaného procesu. WINLOGON je zodpovědný za zobrazení pole pro zadání hesla a ověření pravosti zadaných dat, pokud je přihlášení pod určitým uživatelským jménem chráněno heslem.

Spustí proces WINLOGON.EXE SMSS.EXE (Správce relací). Během celé relace nadále funguje na pozadí. Poté WINLOGON.EXE sám aktivován spustí LSASS.EXE (Local Security Authentication Service) a SERVICES.EXE (Service Control Manager).

Chcete-li volat aktivní okno WINLOGON.EXE, v závislosti na verzi systému Windows se používají kombinace Ctrl + Shift + Esc nebo Ctrl + Alt + Del . Aplikace také aktivuje okno, když se uživatel odhlásí ze systému nebo když se uživatel restartuje.

Vypněte systém pomocí nabídky Start v systému Windows

Pokud WINLOGON.EXE je zhroucen nebo násilně ukončen, různé verze systému Windows reagují jinak. Ve většině případů to vede k modré obrazovce. Ale například v systému Windows 7 je pouze systémový výstup. Nejčastější příčinou abnormálního vypnutí procesu je přetečení jednotky C. Po jeho čištění zpravidla přihlašovací program funguje dobře.

Umístění souboru

Nyní zjistíme, kde je soubor WINLOGON.EXE fyzicky umístěn. V budoucnu budeme potřebovat oddělit tento objekt od viru.

  1. Chcete-li zjistit umístění souboru pomocí Správce úloh, musíte nejprve přepnout na něj v režimu zobrazování procesů všech uživatelů stisknutím odpovídajícího tlačítka.

    2. Povolení režimu zobrazení všech procesů uživatelů ve Správci úloh systému Windows

  2. Poté klikněte pravým tlačítkem myši na název položky. V otevřeném seznamu vyberte "Vlastnosti" .

    3. Přejděte na vlastnosti procesu WINLOGON.EXE prostřednictvím kontextové nabídky v Správci úloh systému Windows

  3. V okně vlastností přejděte na kartu Obecné . Oproti nápisu "Umístění" je umístění vyhledávacího souboru. Téměř vždy tato adresa je:

    C:WindowsSystem32

    Umístění souboru WINLOGON.EXE v okně vlastností procesu

    Ve velmi vzácných případech může proces odkazovat na následující adresář:

    C:Windowsdllcache

    Kromě těchto dvou adresářů nelze umístit umístění souboru nikde jinde.

Kromě toho můžete ze Správce úloh přesouvat přímo do umístění souboru.

  1. V režimu zobrazování procesů všech uživatelů klikněte pravým tlačítkem myši na položku. V místní nabídce vyberte možnost "Otevřít úložiště souborů" .

    2. Přejděte do umístění souboru WINLOGON.EXE prostřednictvím kontextové nabídky v Správci úloh systému Windows

  2. Poté se aplikace Explorer otevře v adresáři pevného disku, kde se nachází požadovaný objekt.

Místo, kde je soubor WINLOGON.EXE uložen v okně Průzkumníka Windows

Malware substituce

Ale někdy proces WINLOGON.EXE pozorovaný v Správci úloh může být škodlivý program (virus). Podívejme se, jak rozlišovat skutečný proces od padělaného.

  1. Především je třeba vědět, že v nástroji Správce úloh může existovat pouze jeden proces WINLOGON.EXE. Pokud pozorujete více, pak jeden z nich je virus. Všimněte si, že pole "Uživatel" v poli Uživatel je nastaveno na "System" ( "SYSTEM" ). Pokud je proces spuštěn jménem jiného uživatele, například jménem aktuálního profilu, pak můžeme uvést skutečnost, že se zabýváme virální aktivitou.

    2. WINLOGON.EXE uživatelské jméno procesu v Správci úloh systému Windows

  2. Také zkontrolujte umístění souboru některým z výše uvedených metod. Pokud se liší od těch dvou variant adres pro tento prvek, které jsou povoleny, pak opět máme virus. Docela často je virus kořenem adresáře "Windows" .

    3. Virus WINLOGON.EXE je umístěn ve složce Windows

  3. Vaše bdělost by měla být způsobena vysokou mírou využití systémových zdrojů tímto procesem. Za normálních podmínek je téměř neaktivní a aktivuje se pouze v době vstupu / výstupu ze systému. Proto spotřebovává jen velmi málo zdrojů. Pokud WINLOGON začne načítat procesor a spotřebovávat velké množství paměti RAM, jednáme se buď o virus, nebo o nějaký druh selhání v systému.

    4. Spotřeba prostředků procesem WINLOGON.EXE ve Správci úloh systému Windows

  4. Pokud je k dispozici alespoň jeden z uvedených podezřelých znaků, stáhněte a spusťte nástroj PC na PC Dr.Web CureIt . Bude naskenovat systém a pokud bude detekován, bude s ním zacházet.

    5. Skenování systému pomocí nástroje Dr.Web CureIt

  5. Pokud nástroj nepomohl, ale uvidíte, že objekty WINLOGON.EXE v Správci úloh jsou dva nebo více, zastavte objekt, který nesplňuje standardy. Chcete-li to provést, klepněte pravým tlačítkem na něj a vyberte možnost "Ukončit proces" .

    6. Přejděte na dokončení procesu WINLOGON.EXE prostřednictvím kontextové nabídky v Správci úloh systému Windows

  6. Otevře se malé okno, kde budete muset potvrdit své záměry.

    7. Potvrzení dokončení procesu WINLOGON.EXE v Správci úloh systému Windows

  7. Po dokončení procesu přesuňte se do složky umístění souboru, který jste zmiňovali, klepněte pravým tlačítkem myši na soubor a vyberte příkaz Odstranit z nabídky. Pokud o to systém požádá, potvrďte své záměry.

    8. Chcete-li soubor Virus WINLOGON.EXE odstranit pomocí kontextové nabídky v Průzkumníku Windows

  8. Poté vyčistěte registr a znovu zkontrolujte pomocný program počítače, neboť dostatečně často jsou soubory tohoto typu načteny příkazem z registru předepsaným virem.

    Pokud nemůžete zastavit proces nebo zničit soubor, pak přihlaste se do nouzového režimu a proveďte proceduru odinstalace.

Jak vidíte, WINLOGON.EXE hraje důležitou roli ve fungování systému. Je přímo zodpovědný za vstup a výstup z něj. I když téměř celý čas, zatímco uživatel pracuje na počítači, je zadaný proces v pasivním stavu, ale když je nucen pokračovat, není možné pracovat v systému Windows. Navíc existují viry, které mají podobný název, zamaskované jako daný objekt. Je důležité je co nejdříve vypočítat a zničit.