WiFiGid приветствует вас! Эту статью посвятим разбору WINLOGON.exe. Узнаем что это за процесс, нужно ли его удалять, где он находится, может ли за ним прятаться страшный и опасный вирус. Такой себе классический джентельменский чемоданчик для любого непонятного процесса на Windows. Предлагаю сразу же перейти к рассмотрению!
Если у вас появились какие-то вопросы или есть что-то интересное, чем вы бы хотели поделиться в нашем сообществе – оставьте комментарий под этой статье. Мы будем очень рады!
Что это за процесс?
WINLOGON.exe – стандартный процесс (программа) всех версий Windows, который отвечает за вход и выход пользователя в систему (как за сам процесс, так и за отображение этих красивых окошек с пользователями). Т.е. даже если вы не видите экран входа при загрузке, считаем что на любом включении вы все равно сидите в системе под каким-то своим пользователем. Вот за это и отвечает winlogon.exe.
Т.е. в стандартных ситуациях – это обычный правильный процесс, который не нужно трогать, а то может вылететь синий экран.
Вот так в списке процессов выглядит обычный правильный winlogon. На самом деле объем памяти от разных версий Windows может расходиться, но обычно он много не занимает:
Связи с другими процессами
Попробуем распутать цепочку связей нашего процесса, кому-то будет полезным:
- SMSS.EXE (диспетчер сеанса) запускает WINLOGON.EXE.
- WINLOGON.EXE запускает LSASS.EXE (сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (диспетчер управления службами).
Где находится на диске?
Как мы выяснили выше, файл WINLOGON.exe загружается самостоятельно при старте с помощью SMSS.EXE. Физический путь WINLOGON в системе:
C:\Windows\System32
Очень редко (но бывает):
C:\Windows\dllcache
Как определить вирус?
Периодически под процесс WINLOGON маскируются разные вирусы. Причем процесс настолько популярный среди разработчиков зловредов, что какое-то отдельное поведение заразы вычислить сложно:
- Процесс может ненормально грузить процессор, диск, видеокарту – это видно сразу в диспетчере устройств (Ctrl + Shift + Esc).
- Обращаем внимание, что процесс должен быть запущен от имени «СИСТЕМА» («SYSTEM»), а не какого-то другого пользователя (например, вашего).
- Проверяем расположение файла процесса (щелкаем по нему правой кнопкой мыши и выбираем пункт «Открыть расположение файла»). Правильные пути расположения писал в разделе выше.
- Проверяем правильное название. В своей практике встречал winlogSon и близки варианты написания.
Если что-то не сходится – прогоняем компьютер любым нормальным антивирусом. Скорее всего простое удаление файла и завершение процесса сильно не поможет (хотя можно и попробовать, главное не наломайте дров), т.к. нормальный вирус такое восстанавливает, так что в каждой конкретной ситуации уже нужно разбираться отдельно.
Ставим лайк, у кого этот файл оказался вирусом.
У меня вроде все нормально, оригинальный.
А ну теперь хоть понятно стало. Понапридумывают процессов и программ, а ты сиди и разбирайся потом