WINLOGON.EXE - гэта працэс, без якога немагчымы запуск АС Windows і яе далейшае функцыянаванне. Але часам пад яго маскай крыецца вірусная пагроза. Давайце разбярэмся, у чым складаюцца задачы WINLOGON.EXE і якая пагроза можа зыходзіць ад яго.
Звесткі аб працэсе
Дадзены працэс можна заўсёды ўбачыць, запусціўшы "Дыспетчар задач" ва ўкладцы "Працэсы".
Якія ж функцыі ён выконвае і навошта патрэбен?
асноўныя задачы
Перш за ўсё, спынімся на асноўных задачах дадзенага аб'екта. Яго першараднай функцыяй з'яўляецца забеспячэнне ўваходу ў сістэму, а таксама выхаду з яе. Зрэшты, гэта няцяжка зразумець нават з самага яго наймення. WINLOGON.EXE называюць таксама праграмай ўваходу ў сістэму. Яна адказвае не толькі за сам працэс, але і за дыялог з карыстальнікам падчас працэдуры ўваходу праз графічны інтэрфейс. Уласна, застаўкі пры ўваходзе і выхадзе з Windows, а таксама акно пры змене бягучага карыстальніка, якія мы бачым на экране, з'яўляюцца прадуктам дзейнасці названага працэсу. У круг адказнасці WINLOGON ўваходзіць адлюстраванне поля для ўводу пароля, а таксама праверка сапраўднасці уведзеных дадзеных, калі ўваход у сістэму пад канкрэтным імем карыстальніка запаролен.
Запускае WINLOGON.EXE працэс SMSS.EXE (Дыспетчар сеансу). Ён працягвае функцыянаваць у фоне на працягу ўсяго сеансу. Пасля гэтага ўжо сам актываваны WINLOGON.EXE запускае LSASS.EXE (Сэрвіс праверкі сапраўднасці лакальнай сістэмы бяспекі) і SERVICES.EXE (Дыспетчар кіравання службамі).
Для выкліку актыўнага акна праграмы WINLOGON.EXE, у залежнасці ад версіі Віндовс, прымяняюцца спалучэння Ctrl + Shift + Esc або Ctrl + Alt + Del. Таксама прыкладанне актывуе акно пры запуску юзарам выхаду з сістэмы або пры гарачай перазагрузцы.
Пры аварыйным або прымусовым завяршэнні WINLOGON.EXE розныя версіі Windows рэагуюць па-рознаму. У большасці выпадкаў гэта прыводзіць да сіняга экрану. Але, напрыклад, у Windows 7 адбываецца толькі выхад з сістэмы. Найбольш частай прычынай аварыйнага прыпынку працэсу з'яўляецца перапоўненасць дыска C. Пасля яго ачысткі, як правіла, праграма ўваходу ў сістэму працуе нармальна.
размяшчэнне файла
Зараз давайце высвятлім, дзе фізічна размешчаны файл WINLOGON.EXE. Гэта нам у будучыні спатрэбіцца для адмежаваньне сапраўднага аб'екта ад віруснага.
- Для таго, каб вызначыць месца размяшчэння файла з дапамогай Дыспетчара задач, перш за ўсё трэба пераключыцца ў ім у рэжым адлюстравання працэсаў ўсіх юзэраў, вырабячы націск на адпаведную кнопку.
- Пасля гэтага клікаем правай кнопкай мышкі па найменні элемента. У раскрыць пераліку выбіраем "Уласцівасці".
- У акне уласцівасцяў перайдзіце ва ўкладку "Агульныя". насупраць надпісы "Размяшчэнне" знаходзіцца адрас размяшчэння шуканага файла. Практычна заўсёды гэты адрас наступны:
C: Windows System32
У вельмі рэдкіх выпадках працэс можа спасылацца на наступную дырэкторыю:
C: Windows dllcacheАкрамя гэтых двух дырэкторый больш нідзе размяшчэнне шуканага файла немагчыма.
Акрамя таго, з Дыспетчара задач існуе магчымасць перайсці ў непасрэднае месца размяшчэння файла.
- У рэжыме адлюстравання працэсаў ўсіх карыстальнікаў пстрыкніце па элементу правай кнопкай мышы. У кантэкстным меню абярыце "Адкрыць месца захоўвання файла".
- Пасля гэтага адкрыецца правадыр у той дырэкторыі вінчэстара, дзе размешчаны шуканы аб'ект.
Падмена шкоднаснай праграмай
Але часам назіраны ў Дыспетчару задач працэс WINLOGON.EXE можа апынуцца шкоднаснай праграмай (вірусам). Паглядзім, як адрозніць сапраўдны працэс ад падробленага.
- Перш за ўсё, трэба ведаць, што ў Дыспетчару задач можа быць толькі адзін працэс WINLOGON.EXE. Калі вы назіраеце больш, то адзін з іх вірус. Звярніце ўвагу, каб насупраць вывучаемай элемента ў поле "Карыстальнік" стаяла значэнне "Сістэма" ("SYSTEM"). Калі працэс запускаецца ад імя любога іншага карыстальніка, напрыклад ад імя бягучага профілю, то можна канстатаваць факт, што мы маем справу з віруснай актыўнасцю.
- Таксама праверце месца размяшчэння файла любым з тых спосабаў, якія былі паказаны вышэй. Калі яно адрозніваецца ад тых двух варыянтаў адрасоў для дадзенага элемента, якія дапускаюцца, то, зноў жа, перад намі вірус. Даволі часта вірус знаходзіцца ў корані каталога "Windows".
- Вашу насцярожанасць павінен выклікаць факт высокага ўзроўню выкарыстання рэсурсаў сістэмы дадзеным працэсам. У нармальных умовах ён практычна неактыўны і актывізуецца толькі ў момант уваходу / выхаду з сістэмы. Таму спажывае вельмі мала рэсурсаў. Калі WINLOGON пачынае грузіць працэсар і спажываць вялікая колькасць аператыўкі, то мы маем справу альбо з вірусам альбо з нейкім збоем у сістэме.
- Калі хаця б адзін з пералічаных падазроных прыкмет маецца ў наяўнасці, то запампуйце і запусціце на ПК Лечачым ўтыліту Dr.Web CureIt. Яна праскануюць сістэму і ў выпадку выяўлення вірусаў вырабіць лячэнне.
- Калі ўтыліта не дапамагла, але вы бачыце, што аб'ектаў WINLOGON.EXE ў Дыспетчару задач два ці больш, то спыніце той аб'ект, які не адказвае стандартам. Для гэтага пстрыкніце па ім правай кнопкай мышы і выберыце "Завяршыць працэс".
- Адкрыецца маленькае акенца, дзе вы павінны будзеце пацвердзіць свае намеры.
- Пасля таго, як працэс завершаны, перамесціцеся ў тэчку размяшчэння таго файла, на які ён спасылаўся, пстрыкніце па гэтым файлу правай кнопкай мышкі і выберыце ў меню "Выдаліць". Калі сістэма таго запатрабуе, пацвердзіце свае намеры.
- Пасля гэтага пачысціце рэестр і паўторна праверце кампутар утылітай, так як даволі часта файлы такога тыпу падгружаюцца з дапамогай каманды з рэестра, прапісанай вірусам.
Калі не ўдаецца спыніць працэс або знесці файл, то зайдзіце ў сістэму ў бяспечным рэжыме і выканайце працэдуру выдалення.
Як бачым, WINLOGON.EXE гуляе важную ролю ў функцыянаванні сістэмы. Ён непасрэдна адказвае за ўваход і за выхад з яе. Хоць, амаль што ўвесь час, пакуль карыстальнік працуе на ПК, паказаны працэс знаходзіцца ў пасіўным стане, але пры яго прымусовым завяршэнні працяг працы ў Віндовс становіцца немагчымым. Акрамя таго, існуюць вірусы, якія маюць аналагічнае імя, маскіруючыся пад дадзены аб'ект. Іх важна ў максімальна кароткія тэрміны вылічыць і знішчыць.
