Groeten aan alle bloglezers. Vandaag wil ik een vrij veel voorkomend probleem bespreken waar jullie misschien wel eens mee te maken hebben gehad. Dit zijn fouten Winlogon .exe.

Winlogon.exe

Winlogon is een proces dat verantwoordelijk is voor het in- en uitloggen op het systeem Ramen. Een bestand gebruiken Winlogon.exe Veel hackers verhullen met succes Trojaanse virussen. Ik schreef over hoe ermee om te gaan in het artikel - hoe het trojan-virus te verwijderen .

En ze kunnen eenvoudig uw persoonlijke inloggegevens, wachtwoorden en logins ontvangen. Vervolgens laden ze hun software en ontvangen ze de rest van de informatie over andere diensten die u bezoekt, zoals WebMoney of Vkontakte.

De fout zelf met Winlogon ziet er als volgt uit:

99% van alle mogelijke fouten in het proces Winlogon geassocieerd met virussen (1% menselijke factor).

Sinds kwetsbaarheid Winlogon.exe groot is en de gevolgen aanzienlijk kunnen zijn, zullen we mogelijke fouten overwegenWinlogon en manieren om ze te bestrijden.

Voorbeelden van fouten en hoe u deze kunt oplossen

Opmerking:Omdat alle hieronder beschreven fouten door virussen worden veroorzaakt, moet u, voordat u het probleem oplost, alle partities en schijven volledig van virussen opschonen. Hoe je dit correct kunt doen, schreef ik in het artikel - gebruiken AVZ.

Het is het beste om de schijf op een andere computer aan te sluiten of vanaf een ander systeem op te starten om de geïnfecteerde schijf volledig te reinigen van virussen.

Fout: Het onderdeel kon niet worden gevonden, de fout zelf bevat de tekst “niet gevonden”sfc_os.dll.

Oplossing: Het probleem is duidelijk schade aan Winlogon.exe en de bibliotheek sfc_os.dll. Virussen hebben aan deze bestanden gewerkt, dus we zullen ze herstellen.

We reinigen virussen en herstellen deze vervolgensWinlogon.exeen sfc_os.dll. Vanaf een opstartschijf of download gewoon een directe link van de blog() en kopieer het naar uw systeemstation. Het standaardpad is C:\Windows\system32\.

Nu zou het systeem moeten werken zonder de opdringerige winlogon-fout. Het is mogelijk dat mijn winlogon-bestanden niet bij u passen. Dan verdwijnt de fout niet en moet u ze van de Windows-installatieschijf kopiëren.

Fout:Toepassingsfout Winlogon.exegeheugen kan niet worden gelezen

Oplossing: Een veel voorkomend probleem. Omdat er geen universele manier is om het probleem op te lossen, zal ik alles beschrijven wat mij bekend is.
Voor gebruik is het noodzakelijk.

1. Open het menu Start - Uitvoeren en typ de opdrachtsfc/scannu. Dit is een integriteitscontrole enRamen. Om de test correct te laten slagen, moet u een opstartschijf in de drive plaatsen.Ramen. Bij fouten worden de bestanden vervangen.

2. Als het controleren van de integriteit van bestanden niet heeft geholpen, kunt u het programma gebruikenautoruns ( Je vindt het door op Google te zoeken, ik zal later een recensie over dit programma schrijven 😉)

Het programma heeft een tabblad Winlogon, waarmee u alle bestanden kunt controleren die aan dit proces zijn gekoppeld.

Alle lege en onjuiste *.dll-bestanden (met bijvoorbeeld vragen) moeten worden vervangen. Overigens helpt deze methode, hoewel niet altijd, in de meeste gevallen wanneer er een fout optreedt.

3. Methode 3 is vergelijkbaar met de oplossing voor de eerste fout. U kunt het systeem opstarten viaLiveCD, schone virussenen vervangen.

Er zijn veel vergelijkbare problemen met het Winlogon.exe-proces, de principes voor het oplossen ervan zijn hierboven beschreven. Probeer het en geef commentaar.

Wat hielp? Wat is het probleem? Hoe heb je besloten? Misschien heeft u vragen? Ik beantwoord ze graag in de reacties :)

Trouwens, ik heb het ook beschreven fouten met de grafische Windows-shell in het artikel -. Als je problemen hebt, raad ik je aan het te lezen 😉

Blijkbaar heeft elke gebruiker van een computersysteem waarop Windows draait op de een of andere manier de standaard "Taakbeheer" gebruikt om bepaalde acties uit te voeren of bevroren applicaties af te sluiten. Er zijn op een gegeven moment heel wat processen en diensten actief, maar de dienst Winlogon.exe springt meteen in het oog. Welk soort proces ziet de gebruiker? Systeemservice of virus? Als we het hebben over een schoon systeem, is dit een belangrijk onderdeel van Windows, maar in het geval dat de systeembronnen door dit proces zwaarder worden belast, is het mogelijk dat het helaas een virus is (meestal is het kan worden geclassificeerd als een Trojaans paard). Vervolgens wordt voorgesteld om zowel de oorspronkelijke dienst als mogelijke bedreigingen die zich zonder medeweten van de gebruiker in het systeem hebben gevestigd, in overweging te nemen.

Wat is het Winlogon.exe-proces?

Laten we beginnen met de originele systeemcomponent. Om te begrijpen wat voor soort proces Winlogon.exe is, volstaat het om de naam ervan te begrijpen. Velen hebben vast al begrepen waar we het over hebben. Win is een afkorting voor Windows, logon is de spelling van Log On.

Het is dus gemakkelijk te concluderen dat dit proces een inlogservice is, niet alleen tijdens de eerste keer opstarten, maar ook bij het wisselen van gebruiker. Tijdens het normaal opstarten van het besturingssysteem wordt het gestart door de smss.exe-service om de gebruikersselectie en invoer van een profieltoegangswachtwoord te garanderen, waardoor op zijn beurt de start van andere systeemcomponenten (services.exe, lsass.exe, enz.) wordt geïnitieerd. ).

Hoofddoel van de dienst

Wat betreft de belangrijkste functies die aan deze service zijn toegewezen, kunnen de belangrijkste als volgt worden genoemd:

aan- en afmelden bij het systeem door de profielinstellingen van geregistreerde gebruikers te beheren; het bewaken van de veiligheid van gebruikersgegevens; het garanderen van de werking van het “Desktop”; controle van netwerkverbindingen; het garanderen van de werking van de screensaver (indien ingeschakeld en in gebruik); verificatie van kopieën van besturingssystemen.

Waarom laadt het proces het systeem?

Maar tegen deze regenboogachtergrond kun je ook zwarte vlekken vinden. Soms merken gebruikers dat dit onderdeel een onredelijk grote hoeveelheid bronnen begint te verbruiken met een ongelooflijke toename van de belasting van de centrale processor en RAM, en dat het systeem om onbekende reden berichten weergeeft dat het Winlogon.exe-proces de uitvoering heeft gestart van een bepaalde procedure (meestal een computer die spontaan afsluit of opnieuw opstart). Waarom gebeurt dit? Ja, alleen omdat er, samen met het oorspronkelijke proces, een virus zich in het systeem heeft gevestigd, vermomd als deze systeemservice.

Het Winlogon.exe-proces heeft een uitschakelingsactie geïnitieerd: waarom?

Ja, inderdaad, voedingsproblemen komen het meest voor. Gewone virussen gedragen zich niet op deze manier. Maar in dit geval hebben we te maken met ongebruikelijke bedreigingen. Ondanks het feit dat ze heel lang geleden verschenen (bijna aan het begin van de ontwikkeling van de eerste Windows-computers) en tegenwoordig in het algemeen moreel verouderd zijn, is hun verdacht hoge activiteit onlangs opgemerkt. Maar niet alleen virussen kunnen afsluitingen of herstarts veroorzaken.

En het besturingssysteem zelf heeft voldoende instellingen die de automatische energiebeheermodus kunnen instellen, wat meestal wordt geassocieerd met herstel na een of andere storing.

Schakel automatisch opnieuw opstarten uit

Dus wat voor soort proces Winlogon.exe is, is een beetje duidelijk. Laten we nu eens kijken welke acties u kunt ondernemen om het automatisch opnieuw opstarten of volledig afsluiten van computersystemen te voorkomen.

Om dit te doen, moet u in het herstelgedeelte de optie voor automatisch opnieuw opstarten uitschakelen door erheen te gaan via de aanvullende parameters in de systeemeigenschappen.

Hoe herken je een viraal proces?

Laten we nu eens kijken naar de momenten waarop er een waarschuwing wordt gegeven dat het proces Winlogon.exe een stroomuitschakeling heeft geïnitieerd. In dit geval hebben we het, zoals waarschijnlijk al duidelijk is, over het identificeren van virale bedreigingen.

Het eerste dat u hoeft te doen, is naar "Taakbeheer" kijken. Het kan slechts één (!) Winlogon.exe-proces bevatten met het attribuut "Systeem". Als u twee of meer identieke processen waarneemt, zijn dit beslist virussen. Met behulp van het RMB-menu van het geselecteerde proces moet u naar het item gaan dat de bestandslocatie weergeeft.

De originele systeemcomponent kan slechts op twee plaatsen worden gevonden: de map System32 en soms de map dllcache (beide in de hoofdmap van Windows).

Hoe verwijder je een Trojaans paard?

Laten we nu eens kijken naar het verwijderen van virusbedreigingen. We gaan ervan uit dat het virus is gedetecteerd wanneer er een bericht wordt weergegeven waarin staat dat het proces Winlogon.exe de opstartactie heeft gestart. Hoe neutraliseer je het? Ondanks hun relatieve irrelevantie naar moderne maatstaven, zijn dergelijke bedreigingen behoorlijk diep in het systeem geworteld, en niet alle antiviruspakketten zijn in staat deze niet alleen te neutraliseren, maar zelfs te detecteren. Gebruik in elk geval als noodmaatregel een soort draagbare scanner zoals Dr. Web CureIt!, nadat het eerder zijn antivirusdatabases had bijgewerkt.

Als het resultaat nul is, gebruik dan het schijfhulpprogramma Kaspersky Rescue Disk, waarmee u moet opstarten vanaf de verwisselbare media waarop het is opgenomen, en scan vervolgens het systeem voordat Windows start.

Maar laten we ons de ergste situatie voorstellen, waarin de dreiging niet werd gedetecteerd, maar berichten dat het Winlogon.exe-proces een actie startte om de computer af te sluiten of opnieuw op te starten, met benijdenswaardige regelmaat worden uitgegeven. In dit geval moet u het virus handmatig verwijderen. Voordat u de virusmap en -bestanden verwijdert, moet u naar het register (regedit) gaan en naar de HKLM-filiaal gaan en via de SOFTWARE-sectie naar de automatische updatemap gaan (AutoUpdate). In theorie zal de submap RebootRequired zich daarin bevinden.

Het en al zijn inhoud moeten worden verwijderd.

Nu moet u het systeem opnieuw opstarten in de veilige modus, vervolgens alle bestanden uit de TEMP-mappen verwijderen en vervolgens naar de HCU-tak in de register-editor gaan. Via de SOFTWARE-sectie moet u de volgende mappen vinden en dergelijke sleutels verwijderen:

Map uitvoeren - sleutel "Firewall auto setup"="%windir%\winlogon.exe"; IEDesktop-mappen - "host"="...."; IESecurity-mappen - "host"="....".

In het gegeven voorbeeld staat de parameter "...." voor elke waarde die daar wordt ingevoerd. Nadat u alle stappen heeft doorlopen, kunt u nu de viruscomponenten in Explorer verwijderen en uw computer volledig opnieuw opstarten.

Een paar laatste woorden

Dit is heel kort over het Winlogon-proces. Om voor de hand liggende redenen zijn geen duidelijke mechanismen voor het functioneren van deze dienst overwogen, omdat hun diepgaande beschrijving de gemiddelde gebruiker absoluut niets zal opleveren. Maar het belangrijkste dat duidelijk moet worden begrepen, is dat u dit proces onder geen enkele omstandigheid met geweld kunt voltooien met behulp van "Taakbeheer", tenzij we het over virussen hebben. Het deactiveren van het originele onderdeel zal “slechts” resulteren in een blauw scherm. Een soortgelijke situatie kan zich voordoen als het verkeerde proces wordt beëindigd, als er meerdere zijn. Daarom moet u eerst de locatie van de bestanden bepalen.

Als we de details van de fase op laag niveau van het opstarten van het besturingssysteem weglaten, kan het proces van het opstarten van een Windows-systeem als volgt worden beschreven: het subsysteem voor sessiebeheer en de zogenaamde runtime-client/server hebben toegang tot het aanmeldingsprogramma.

Het aanmeldingsprogramma is een bestand met de naam winlogon.exe, waartoe de bovenstaande processen toegang hebben. Vanaf dit moment begint het aftellen van de tijd van interactieve interactie tussen het systeem en de gebruiker. Daarom zal het voor elke gekwalificeerde gebruiker nuttig zijn om te weten wat voor soort proces winlogon.exe is.

Er is geen gebruikersinteractie mogelijk zonder reactie op klikken op de toetsenbordtoetsen. Vanaf het allereerste begin biedt het proces winlogon.exe de gebruiker deze mogelijkheid. Allereerst wordt gebruik gemaakt van de reactie op standaard toetsenbordcombinaties . Vervolgens laadt het inlogprogramma de meldingsbibliotheken. Met hun hulp wordt de juistheid van de login en het wachtwoord gecontroleerd, als deze door de gebruiker zijn ingesteld.

Vervolgens ontvouwt het lanceringsproces zich langs de keten. winlogon.exe activeert het register en voert een reeks opstartopdrachten uit die in een van de vertakkingen zijn geschreven. Hierna wordt Shell geactiveerd en wordt Explorer gestart, die op zijn beurt de basis vormt van de Windows-interface.

Kenmerken van het inlogprogramma

Het winlogon.exe-proces behoort tot de categorie "niet te doden". Het is onmogelijk om het uit de lijst met uitvoerbare bestanden te schrappen met behulp van bijvoorbeeld "Taakbeheer". Het zou vreemd zijn als iemand daarin zou slagen. Maar dit kan worden gedaan met behulp van gespecialiseerde software, bijvoorbeeld het hulpprogramma Process Explorer. Om deze service programmatisch te ‘slammen’, is het gebruik van de API op het hoogste niveau niet voldoende. Hiervoor moet je privileges op kernelniveau verkrijgen, wat het programmeren van een dergelijke taak veel moeilijker maakt.

Lukt het je toch om de inlogservice tijdens een Windows-sessie te vernietigen, dan zie je behalve “crackers” niets interessants op het scherm. Windows wordt gestopt en de computer moet opnieuw worden opgestart door op een knop op de systeemeenheid te drukken.

Ondanks het feit dat het proces winlogon.exe zich op geen enkele manier extern manifesteert, heeft het nog steeds een eigen venster. Alleen dit venster wordt niet op het scherm weergegeven en is onzichtbaar. Het is echter in de berichtenwachtrij van dit venster dat alle toetsaanslagcodes op het toetsenbord vallen. En pas dan komen ze bij de ramen van de gebruiker terecht. Dit venster staat niet toe dat sommige sneltoetsen verder worden doorgegeven en reserveert deze voor zichzelf. Benoem daarom elke andere functie behalve de raamschakelfunctie zal niet werken.

Experimenten met de bootloader

Je kunt, zo niet een roman, dan een geweldig verhaal schrijven over experimenten met het winlogon.exe-proces. Wie heeft hier niet de hand in gehad? Van volledig respectabele burgers die op zoek zijn naar extra gemakken in Windows tot onverantwoordelijke opgevers met grote kennis van programmeren en kwaadaardige virusschrijvers.

Sommige interessante experimenten zijn afhankelijk van het feit dat het inlogprogramma rechtstreeks toegang heeft tot individuele registersleutels. Ja, het leest niet alleen de informatie daar, maar start ook andere programma's waarvan de namen in deze sleutels zijn geschreven. Als u deze namen wijzigt, kunt u daarom een ​​nogal niet-standaard reactie en systeem op het opstartproces bereiken.

Geef de gebruiker bijvoorbeeld een andere afbeelding dan de afbeelding die verschijnt wanneer hij weigert zijn gebruikersnaam en wachtwoord in te voeren. Het bleek dat het proces winlogon.exe ook verantwoordelijk is voor het uiten van systeemberichten. Dit biedt ook geweldige kansen voor degenen die graag in het lef van Windows graven.

Maar de grootste kritiek is het gebruik van dit proces als basis voor een hele reeks virussen. Sommige virussen bootsten met succes de taak van het inloggen op een systeem na en konden de gebruiker grote schade toebrengen.

Het is belangrijk om te onthouden dat elk bestand met dezelfde naam als het inlogprogramma dat zich ergens buiten de mappen “\system32” en “dllcache” bevindt, vrijwel zeker een virus is.

Verwijder dergelijke verdachte bestanden zodra u ze vindt.

Door "Taakbeheer" op zijn computer te openen, kan elke gebruiker het actieve proces op het tabblad Processen zien winlogon.exe. In dit artikel zal ik praten over wat dit winlogon.exe-proces is en de functies van dit proces, en ook uitleggen hoe je Winlogon kunt onderscheiden van een virus, dat zichzelf vaak vermomt als het proces dat ik overweeg.

Wat is winlogon.exe in taakbeheer

Ervaren gebruikers, die de naam van dit proces hebben gelezen, kunnen al concluderen dat, aangezien de naam het woord “ winnen", dan verwijst dit proces naar Windows OS-processen, en aangezien de naam het token bevat " inloggen"(aanmelden), waarna het proces winlogon.exe de aanmeldingsprocedure van de gebruiker afhandelt.

Het is duidelijk dat dit winlogon-proces slechts twee statussen kan hebben: een systeem- en een betrouwbaar Windows OS-proces, of een virus, worm of spyware met dezelfde naam. Daarom is het erg belangrijk om het proces te identificeren, en de vraag “wat is winlogon.exe” is zeer relevant.

Het proces winlogon.exe begint zijn werk wanneer het besturingssysteem start en is aanwezig in alle versies van het Windows-besturingssysteem - van XP tot Windows 10. Het is door Microsoft gemaakt om de werking van het besturingssysteem te verbeteren en is voorzien van uitgebreide functionaliteit.

1. Winlogon is verantwoordelijk voor de werking en bescherming van de desktop.
2. Voor de werking van een computernetwerk.
3. Voor screensaver-bediening.
4. Gebruikersprofielen laden.
5. Het garandeert de veiligheid van gebruikersgegevens en werkt met de SAS-standaard.
6. Verifieert kopieën van Windows OS.
7. Ondersteunt het inloggen en uitloggen van gebruikers, evenals een aantal andere functies.

Het uitvoerbare bestand van het proces winlogon.exe bevindt zich meestal in de algemene map van het Windows-besturingssysteem, in de map System32. Het stoppen van dit bestand (en het verwijderen ervan) kan de meest fatale gevolgen hebben voor uw besturingssysteem.

Dit proces wordt gestart door het smss.exe-proces wanneer het besturingssysteem opstart, en vervolgens start het zelf de processen lsass.exe en services.exe.

Wanneer winlogon.exe een bedreiging wordt

Heel vaak dringen verschillende virusprogramma's de computer van de gebruiker binnen en werken daarin onder de naam winlogon.exe (Trojan.Goldun-virussen worden opgemerkt , W32.Netsky.D@mm , W32.IRCBot, W32.Neveg.A@mm en een aantal andere).

Om het aantal en de locatie van winlogon.exe-bestanden te bepalen ga naar Taakbeheer, ga naar het tabblad "Processen", klik op het selectievakje naast de optie om processen van alle gebruikers weer te geven (onderaan), zoek alle winlogon.exe-processen en klik met de rechtermuisknop op elk ervan, selecteer "open bestandsopslaglocatie".

Als er een andere map voor u wordt geopend dan degene die ik hierboven heb genoemd, heeft u een virus op uw computer. Om er vanaf te komen, gebruikt u betrouwbare antivirusprogramma's zoals Trojan Remover, Dr.Web CureIt! en anderen kunt u ook zo'n handig hulpmiddel als Security Task Manager gebruiken, dat alle processen die op de computer draaien analyseert, zodat u onnodige en schadelijke variaties kunt verwijderen.

Heel vaak wordt de aanwezigheid van een virus in het systeem aangegeven door fouten waarin winlogon wordt vermeld, die verschijnen wanneer het besturingssysteem wordt geladen en actief is. Als u een dergelijke fout tegenkomt, controleer dan ook uw systeem op verschillende malware.

Conclusie

Wat is winlogon.exe? Het proces dat ik overweeg, winlogon.exe, is een onbetwist kenmerk van de functionaliteit van het Windows-besturingssysteem. Het is erg belangrijk voor de werking van het besturingssysteem en de beschadiging of verwijdering ervan kan de meest ernstige gevolgen hebben voor de werking van uw computer. Tegelijkertijd wordt verschillende kwaadaardige software vaak vermomd als Winlogon, waardoor het voor de gebruiker moeilijk wordt om deze te identificeren en te verwijderen. Controleer uw computer vaker met krachtige antivirusprogramma's - dit beschermt u tegen virussen onder het merk "winlogon.exe".

Het Windows-besturingssysteem start nadat de computer de POST-test heeft doorstaan. Het sessiebeheersubsysteem en de runtimeclient/server hebben toegang tot het aanmeldingsprogramma winlogon.exe. Wat dit proces in Windows 7 is, wordt in dit artikel beschreven.

Programma functies

"Win" geeft aan dat het proces bij het besturingssysteem hoort, "logon" (aanmelden) geeft aan dat het programma is gekoppeld aan de inlogprocedure van de gebruiker - authenticatie.

Na succesvolle aanmeldingsverificatie activeert winlogon.exe het register en voert een reeks startopdrachten uit die in een van de vertakkingen zijn geschreven. Vervolgens wordt de shell geactiveerd en wordt Explorer gestart, wat de basis vormt van de Windows-interface.

Het wordt gestart door het smss.exe-proces wanneer het besturingssysteem opstart, en bevat vervolgens zelf lsass.exe en services.exe.

Belangrijkste functies van het programma:

• prestaties en bescherming van de desktop;
• exploitatie van computernetwerken;
• schermbeveiligingscontrole;
• het waarborgen van de veiligheid van gebruikersgegevens, werkend met de SAS-standaard;
• Kopieën van Windows OS verifiëren.
• ondersteuning voor inloggen en uitloggen van gebruikers en andere.

Standaard bevindt het bestand zich in de map System32 of SysWoW64, afhankelijk van de bitdiepte van het systeem.

Eigenaardigheden

Het proces winlogon.exe kan niet op gebruikersniveau worden beëindigd omdat het een systeemproces is. De prestaties van de meeste besturingssysteemmodules zijn afhankelijk van de aanwezigheid ervan.

Dergelijke processen worden op kernelniveau bestuurd met kennis van systeemprogrammering. Als u er echter in slaagt winlogon.exe te beëindigen, wordt Windows instabiel en stopt het mogelijk zelfs helemaal, wat betekent dat u uw computer opnieuw moet opstarten.

Een ander kenmerk van dit proces is het beheer van systeemsneltoetsen. In tegenstelling tot GNU/Linux is het in Windows onmogelijk om toetsen zoals “Alt + Tab” (het actieve venster wijzigen) of “Ctrl + Alt + Delete” (het scherm vergrendelen) opnieuw toe te wijzen met behulp van standaardhulpmiddelen.

winlogon-fout

Soms ontstaat er een probleem tijdens het installatieproces van bepaalde software. Dit is mogelijk als een toepassing die is gekoppeld aan winlogon.exe (bijvoorbeeld FineReader OCR) actief is. In dit geval moet u vóór de installatie alle onnodige programma's sluiten om OS-conflicten te voorkomen.

Virusinfectie

Virusontwikkelaars maken effectief gebruik van de isolatie van winlogon.exe van gebruikersacties. Door kennis te hebben op het gebied van applicatie- en systeemprogrammering kunnen ze deze beperking omzeilen en een virus maken met exact dezelfde naam, maar op een andere locatie op de schijf. Een infectie kan worden aangegeven door een bericht dat winlogon.exe opnieuw is opgestart.

1. Open “Taakbeheer” met de toetsencombinatie “Ctrl + Shift + Esc”.
2. Ga naar het tabblad Processen.
3. Zorg ervoor dat er slechts één winlogon.exe in de lijst staat. Controleer anders uw computer op virussen.