ทักทายผู้อ่านบล็อกทุกคน วันนี้ผมอยากจะพูดถึงปัญหาทั่วไปที่พวกคุณแต่ละคนอาจเคยพบเจอ สิ่งเหล่านี้เป็นความผิดพลาด วินโลกอน .exe.
Winlogon.exe
วินโลกอนเป็นกระบวนการที่รับผิดชอบในการเข้าและออกจากระบบ หน้าต่าง- การใช้ไฟล์ Winlogon.exeแฮกเกอร์จำนวนมากสามารถปลอมแปลงไวรัสโทรจันได้สำเร็จ ฉันเขียนเกี่ยวกับวิธีจัดการกับพวกเขาในบทความ - วิธีการลบไวรัสโทรจัน .
และพวกเขาสามารถรับข้อมูลการเข้าสู่ระบบส่วนบุคคล รหัสผ่าน และการเข้าสู่ระบบของคุณได้อย่างง่ายดาย จากนั้นพวกเขาจะโหลดซอฟต์แวร์และรับข้อมูลส่วนที่เหลือเกี่ยวกับบริการอื่นๆ ที่คุณเยี่ยมชม เช่น WebMoney หรือ Vkontakte
ข้อผิดพลาดกับ Winlogon มีลักษณะดังนี้:
99% ของข้อผิดพลาดที่เป็นไปได้ทั้งหมดกับกระบวนการ วินโลกอนเกี่ยวข้องกับไวรัส (ปัจจัยมนุษย์ 1%)
เนื่องจากมีความเปราะบาง Winlogon.exeมีขนาดใหญ่และผลที่ตามมาอาจมีนัยสำคัญ จากนั้นเราจะพิจารณาข้อผิดพลาดที่อาจเกิดขึ้นวินโลกอน และวิธีการต่อสู้กับพวกมัน
ตัวอย่างข้อผิดพลาดและวิธีแก้ไข
บันทึก:เนื่องจากข้อผิดพลาดทั้งหมดที่อธิบายไว้ด้านล่างนี้เกิดจากไวรัส ก่อนที่จะแก้ไขปัญหา คุณต้องล้างพาร์ติชันและดิสก์ไวรัสทั้งหมดให้หมด ฉันเขียนเกี่ยวกับวิธีการทำสิ่งนี้อย่างถูกต้องในบทความ - การใช้ เอวีแซด.
วิธีที่ดีที่สุดคือเชื่อมต่อดิสก์กับคอมพิวเตอร์เครื่องอื่นหรือบูตจากระบบอื่นเพื่อล้างดิสก์ที่ติดไวรัสจากไวรัสอย่างสมบูรณ์
ข้อผิดพลาด: ไม่พบส่วนประกอบ ข้อผิดพลาดมีข้อความ "ไม่พบ"sfc_os.dll.
วิธีแก้ไข: ปัญหาคือความเสียหายต่อ Winlogon.exe และไลบรารีอย่างชัดเจน sfc_os.dll. ไวรัสทำงานในไฟล์เหล่านี้ ดังนั้นเราจะกู้คืนไฟล์เหล่านั้น
เราล้างไวรัสแล้วคืนค่าWinlogon.exeและ sfc_os.dll จากดิสก์สำหรับบูตหรือเพียงดาวน์โหลดลิงก์โดยตรงจากบล็อก() และคัดลอกไปยังไดรฟ์ระบบของคุณ เส้นทางเริ่มต้นคือ C:\Windows\system32\
ตอนนี้ระบบควรทำงานได้โดยไม่มีข้อผิดพลาด winlogon ที่ล่วงล้ำ มีความเป็นไปได้ที่ไฟล์ winlogon ของฉันจะไม่เหมาะกับคุณ ข้อผิดพลาดจะไม่หายไปและคุณจะต้องคัดลอกจากดิสก์การติดตั้ง Windows
ข้อผิดพลาด:ข้อผิดพลาดของแอปพลิเคชัน Winlogon.exeหน่วยความจำไม่สามารถอ่านได้
สารละลาย:ค่อนข้างเป็นปัญหาที่พบบ่อย เนื่องจากไม่มีวิธีสากลในการแก้ปัญหา ฉันจะอธิบายทุกสิ่งที่ฉันรู้จัก
ก่อนใช้งานก็จำเป็น
1. เปิดเมนู Start - Run แล้วพิมพ์คำสั่งเอสเอฟซี/สแกนเลย. นี่คือการตรวจสอบความสมบูรณ์และหน้าต่าง. เพื่อให้การทดสอบผ่านอย่างถูกต้อง คุณต้องใส่ดิสก์สำหรับบูตลงในไดรฟ์หน้าต่าง. ในกรณีที่เกิดข้อผิดพลาด ไฟล์จะถูกแทนที่
2. หากการตรวจสอบความสมบูรณ์ของไฟล์ไม่ได้ผล คุณสามารถใช้โปรแกรมได้ทำงานอัตโนมัติ ( คุณจะพบมันโดยการค้นหาใน Google ฉันจะเขียนรีวิวโปรแกรมนี้ในภายหลัง 😉)
โปรแกรมมีแท็บ วินโลกอน,ซึ่งคุณสามารถตรวจสอบไฟล์ทั้งหมดที่เกี่ยวข้องกับกระบวนการนี้ได้
ไฟล์ *.dll ที่ว่างเปล่าและไม่ถูกต้องทั้งหมด (มีคำถาม เป็นต้น) จะต้องถูกแทนที่ อย่างไรก็ตาม วิธีการนี้แม้ว่าจะไม่เสมอไป แต่ก็ช่วยในกรณีส่วนใหญ่เมื่อมีข้อผิดพลาดเกิดขึ้น
3. วิธีที่ 3 คล้ายกับวิธีแก้ไขข้อผิดพลาดที่ 1 คุณสามารถบูตระบบได้ผ่านทางLiveCD กำจัดไวรัสและแทนที่
มีปัญหาที่คล้ายกันมากมายกับกระบวนการ Winlogon.exe หลักการในการแก้ปัญหาได้เขียนไว้ข้างต้น ลองดูและแสดงความคิดเห็น
ช่วยอะไร? มีปัญหาอะไร? คุณตัดสินใจอย่างไร? บางทีคุณอาจมีคำถาม? ฉันยินดีที่จะตอบพวกเขาในความคิดเห็น :)
โดยวิธีการฉันก็อธิบายด้วย ข้อผิดพลาดกับเชลล์กราฟิกของ Windows ในบทความ -- มีปัญหาอะไรแนะนำให้อ่านครับ 😉
เห็นได้ชัดว่าผู้ใช้ระบบคอมพิวเตอร์ที่ใช้ Windows ไม่ทางใดก็ทางหนึ่งใช้ "ตัวจัดการงาน" มาตรฐานเพื่อดำเนินการบางอย่างหรือปิดแอปพลิเคชันที่ค้าง มีกระบวนการและบริการมากมายที่ทำงาน ณ จุดหนึ่ง แต่บริการ Winlogon.exe ดึงดูดสายตาคุณทันที ผู้ใช้เห็นกระบวนการประเภทใด? บริการของระบบหรือไวรัส? หากเรากำลังพูดถึงระบบที่สะอาดนี่เป็นองค์ประกอบสำคัญของ Windows แต่ในกรณีที่กระบวนการนี้โหลดทรัพยากรระบบเพิ่มขึ้นก็เป็นไปได้ว่าอาจเป็นไวรัสได้ (ส่วนใหญ่มักจะเป็นไวรัส) สามารถจัดเป็นโทรจันได้) ต่อไป เสนอให้พิจารณาทั้งบริการดั้งเดิมและภัยคุกคามที่เป็นไปได้ที่จัดการในระบบโดยที่ผู้ใช้ไม่รู้ตัว
กระบวนการ Winlogon.exe คืออะไร
เริ่มจากส่วนประกอบของระบบดั้งเดิมกันก่อน เพื่อให้เข้าใจว่า Winlogon.exe เป็นกระบวนการประเภทใดก็เพียงพอที่จะเข้าใจชื่อของมัน แน่นอนว่าหลายคนคงเข้าใจสิ่งที่เรากำลังพูดถึงแล้ว Win เป็นตัวย่อสำหรับ Windows การเข้าสู่ระบบเป็นการสะกดของ Log On
ดังนั้นจึงไม่ยากที่จะสรุปได้ว่ากระบวนการนี้เป็นบริการเข้าสู่ระบบไม่เพียง แต่ในระหว่างการบูตครั้งแรกเท่านั้น แต่ยังรวมถึงเมื่อเปลี่ยนผู้ใช้ด้วย ในระหว่างการเริ่มต้นระบบปฏิบัติการตามปกติ บริการ smss.exe จะเปิดตัวเพื่อให้แน่ใจว่าผู้ใช้เลือกและป้อนรหัสผ่านการเข้าถึงโปรไฟล์ ในทางกลับกัน เป็นการเริ่มต้นการเริ่มต้นส่วนประกอบอื่นๆ ของระบบ (services.exe, lsass.exe ฯลฯ ).
วัตถุประสงค์หลักของการบริการ
สำหรับฟังก์ชันหลักที่กำหนดให้กับบริการนี้ ฟังก์ชันหลักสามารถเรียกได้ดังต่อไปนี้:
- เข้าสู่ระบบและออกจากระบบโดยการควบคุมการตั้งค่าโปรไฟล์ของผู้ใช้ที่ลงทะเบียน การตรวจสอบความปลอดภัยของข้อมูลผู้ใช้ รับประกันการทำงานของ "เดสก์ท็อป"; การควบคุมการเชื่อมต่อเครือข่าย ตรวจสอบการทำงานของสกรีนเซฟเวอร์ (หากเปิดใช้งานและใช้งานอยู่) การตรวจสอบสำเนาของระบบปฏิบัติการ
เหตุใดกระบวนการจึงโหลดระบบ
แต่เมื่อเทียบกับพื้นหลังสีรุ้งนี้ คุณยังอาจพบจุดดำอีกด้วย บางครั้งผู้ใช้สังเกตเห็นว่าส่วนประกอบนี้เริ่มใช้ทรัพยากรจำนวนมากอย่างไม่สมเหตุสมผลโดยมีภาระงานบนโปรเซสเซอร์กลางและ RAM เพิ่มขึ้นอย่างไม่น่าเชื่อและระบบจะแสดงข้อความว่ากระบวนการ Winlogon.exe ได้เริ่มดำเนินการด้วยเหตุผลบางประการที่ไม่ทราบสาเหตุ ของขั้นตอนบางอย่าง (โดยปกติจะเป็นคอมพิวเตอร์ที่ปิดระบบเองหรือรีบูต) ทำไมสิ่งนี้ถึงเกิดขึ้น? ใช่ เพียงเพราะว่า นอกเหนือจากกระบวนการดั้งเดิมแล้ว ไวรัสได้จับตัวอยู่ในระบบ โดยปลอมตัวเป็นบริการของระบบ
กระบวนการ Winlogon.exe เริ่มต้นการดำเนินการปิดเครื่อง: เพราะเหตุใด
ใช่แล้ว ปัญหาทางโภชนาการเป็นปัญหาที่พบบ่อยที่สุด ไวรัสธรรมดาจะไม่ทำงานในลักษณะนี้ แต่ในกรณีนี้ เรากำลังเผชิญกับภัยคุกคามที่ผิดปกติ แม้ว่าพวกเขาจะปรากฏตัวเมื่อนานมาแล้ว (เกือบจะเป็นรุ่งเช้าของการพัฒนาคอมพิวเตอร์ที่ใช้ Windows เครื่องแรก) และโดยทั่วไปแล้วในปัจจุบันนั้นล้าสมัยทางศีลธรรมอย่างไรก็ตามกิจกรรมที่สูงอย่างน่าสงสัยของพวกเขาก็ถูกสังเกตเห็นเมื่อเร็ว ๆ นี้ แต่ไม่เพียงแต่ไวรัสเท่านั้นที่สามารถทำให้เกิดการปิดเครื่องหรือรีบูตได้
และระบบปฏิบัติการเองก็มีการตั้งค่าเพียงพอที่สามารถตั้งค่าโหมดการจัดการพลังงานอัตโนมัติซึ่งมักจะเกี่ยวข้องกับการกู้คืนจากความล้มเหลวบางประเภท
ปิดการใช้งานการรีบูตอัตโนมัติ
ดังนั้น Winlogon.exe กระบวนการประเภทใดจึงชัดเจนเล็กน้อย ตอนนี้เรามาดูกันว่าคุณสามารถดำเนินการใดได้บ้างเพื่อหลีกเลี่ยงการรีสตาร์ทอัตโนมัติหรือการปิดระบบคอมพิวเตอร์โดยสมบูรณ์
ในการดำเนินการนี้ในส่วนการกู้คืนคุณจะต้องยกเลิกการเลือกตัวเลือกการรีบูตอัตโนมัติโดยไปที่พารามิเตอร์เพิ่มเติมในคุณสมบัติของระบบ
จะระบุกระบวนการของไวรัสได้อย่างไร?
ตอนนี้เรามาดูช่วงเวลาเหล่านั้นเมื่อมีการออกคำเตือนว่ากระบวนการ Winlogon.exe ได้เริ่มการปิดระบบไฟฟ้า ในกรณีนี้ ดังที่อาจชัดเจนอยู่แล้ว เรากำลังพูดถึงการระบุภัยคุกคามจากไวรัส
สิ่งแรกที่คุณต้องทำคือดูที่ "ตัวจัดการงาน" สามารถมีกระบวนการ Winlogon.exe เพียงกระบวนการเดียว (!) พร้อมแอตทริบิวต์ "System" หากคุณสังเกตเห็นกระบวนการที่เหมือนกันตั้งแต่สองกระบวนการขึ้นไป สิ่งเหล่านี้คือไวรัสอย่างแน่นอน เมื่อใช้เมนู RMB ในกระบวนการที่เลือกคุณจะต้องไปที่รายการที่แสดงตำแหน่งไฟล์
ส่วนประกอบของระบบดั้งเดิมสามารถพบได้ในสองแห่งเท่านั้น: ไดเร็กทอรี System32 และบางครั้งในโฟลเดอร์ dllcache (ทั้งคู่อยู่ในไดเร็กทอรีหลักของ Windows)
จะลบโทรจันได้อย่างไร?
ตอนนี้เรามาดูการลบภัยคุกคามจากไวรัสกัน เราถือว่าตรวจพบไวรัสเมื่อออกข้อความระบุว่ากระบวนการ Winlogon.exe ได้เริ่มต้นการดำเนินการเปิดเครื่องแล้ว จะทำให้เป็นกลางได้อย่างไร? แม้ว่ามาตรฐานสมัยใหม่จะไม่สัมพันธ์กัน แต่ภัยคุกคามดังกล่าวมีรากฐานมาจากระบบค่อนข้างลึก และไม่ใช่ว่าแพ็คเกจป้องกันไวรัสทั้งหมดจะสามารถไม่เพียงแต่ทำให้เป็นกลางเท่านั้น แต่ยังตรวจจับได้อีกด้วย ในกรณีฉุกเฉิน ให้ใช้เครื่องสแกนแบบพกพาเช่น Dr. Web CureIt! ได้อัปเดตฐานข้อมูลต่อต้านไวรัสไปแล้วก่อนหน้านี้
หากผลลัพธ์เป็นศูนย์ ให้ใช้ดิสก์ยูทิลิตี้ Kaspersky Rescue Disk ซึ่งคุณต้องบูตจากสื่อแบบถอดได้ซึ่งบันทึกไว้ จากนั้นสแกนระบบก่อนที่ Windows จะเริ่มทำงาน
แต่ลองจินตนาการถึงสถานการณ์ที่เลวร้ายที่สุดเมื่อตรวจไม่พบภัยคุกคาม แต่ข้อความที่กระบวนการ Winlogon.exe เริ่มต้นการดำเนินการเพื่อปิดหรือรีสตาร์ทคอมพิวเตอร์นั้นได้รับความสม่ำเสมอที่น่าอิจฉา ในกรณีนี้ คุณจะต้องลบไวรัสด้วยตนเอง ก่อนที่จะลบโฟลเดอร์และไฟล์ไวรัส คุณควรไปที่รีจิสทรี (regedit) และไปที่สาขา HKLM และผ่านส่วน SOFTWARE ไปที่ไดเร็กทอรีอัปเดตอัตโนมัติ (AutoUpdate) ตามทฤษฎีแล้ว โฟลเดอร์ย่อย RebootRequired จะอยู่ในนั้น
มันและเนื้อหาทั้งหมดจะต้องถูกลบ
ตอนนี้คุณควรรีบูทระบบในเซฟโหมด จากนั้นลบไฟล์ทั้งหมดออกจากโฟลเดอร์ TEMP จากนั้นไปที่สาขา HCU ในตัวแก้ไขรีจิสทรี ในส่วนซอฟต์แวร์คุณจะต้องค้นหาไดเร็กทอรีต่อไปนี้และลบคีย์ดังกล่าว:
- เรียกใช้โฟลเดอร์ - คีย์ "การตั้งค่าไฟร์วอลล์อัตโนมัติ"="%windir%\winlogon.exe"; โฟลเดอร์ IEDesktop - "host"="...."; โฟลเดอร์ IESecurity - "host"="....
ในตัวอย่างที่กำหนด พารามิเตอร์ "...." หมายถึงค่าใดๆ ที่ป้อนไว้ หลังจากทำตามขั้นตอนทั้งหมดแล้ว ตอนนี้คุณสามารถลบส่วนประกอบของไวรัสใน Explorer และรีสตาร์ทคอมพิวเตอร์โดยสมบูรณ์
ไม่กี่คำสุดท้าย
นี่เป็นเนื้อหาโดยย่อเกี่ยวกับกระบวนการ Winlogon ด้วยเหตุผลที่ชัดเจน กลไกที่ชัดเจนสำหรับการทำงานของบริการนี้ไม่ได้รับการพิจารณาเนื่องจากคำอธิบายเชิงลึกจะไม่ให้อะไรเลยกับผู้ใช้โดยเฉลี่ย แต่สิ่งที่สำคัญที่สุดที่ควรเข้าใจให้ชัดเจนคือคุณไม่สามารถดำเนินการตามกระบวนการนี้ให้เสร็จสิ้นโดยใช้ "ตัวจัดการงาน" ได้ไม่ว่าในกรณีใด ๆ เว้นแต่ว่าเรากำลังพูดถึงไวรัส การปิดใช้งานส่วนประกอบดั้งเดิมจะส่งผลให้หน้าจอสีน้ำเงิน "เท่านั้น" สถานการณ์ที่คล้ายกันอาจเกิดขึ้นได้หากกระบวนการที่ไม่ถูกต้องถูกยกเลิกหากมีหลายกระบวนการ ดังนั้นคุณต้องกำหนดตำแหน่งของไฟล์ก่อน
กระบวนการบูตระบบ Windows ละเว้นขั้นตอนระดับต่ำในการบูตระบบปฏิบัติการ สามารถอธิบายได้ดังต่อไปนี้: ระบบย่อยการจัดการเซสชันและสิ่งที่เรียกว่ารันไทม์ไคลเอ็นต์/เซิร์ฟเวอร์ เข้าถึงโปรแกรมล็อกออน
โปรแกรมล็อกออนเป็นไฟล์ชื่อ winlogon.exe ซึ่งเป็นกระบวนการเข้าถึงข้างต้น จากช่วงเวลานี้เป็นต้นไปการนับถอยหลังของการโต้ตอบแบบโต้ตอบระหว่างระบบและผู้ใช้จะเริ่มต้นขึ้น ดังนั้นการรู้ว่า winlogon.exe กระบวนการประเภทใดจะมีประโยชน์สำหรับผู้ใช้ที่มีคุณสมบัติทุกคน
ไม่สามารถโต้ตอบกับผู้ใช้ได้หากไม่มีการตอบสนองต่อการคลิกบนแป้นคีย์บอร์ด ตั้งแต่เริ่มต้นการดำเนินการกระบวนการ winlogon.exe จะมอบโอกาสนี้ให้กับผู้ใช้ ประการแรก จะใช้ปฏิกิริยาต่อชุดแป้นพิมพ์มาตรฐาน
จากนั้นกระบวนการเปิดตัวจะคลี่คลายไปตามห่วงโซ่ winlogon.exe เปิดใช้งานรีจิสทรีและดำเนินการชุดคำสั่งเริ่มต้นที่เขียนในสาขาใดสาขาหนึ่ง หลังจากนั้นเชลล์จะเปิดใช้งานและเปิดตัว Explorer ซึ่งในทางกลับกันจะเป็นพื้นฐานของอินเทอร์เฟซ Windows
คุณสมบัติของโปรแกรมเข้าสู่ระบบ
กระบวนการ winlogon.exe อยู่ในหมวดหมู่ "unkillable"ไม่สามารถลบออกจากรายการปฏิบัติการได้โดยใช้ตัวอย่างเช่น "ตัวจัดการงาน" คงจะแปลกถ้ามีคนทำสำเร็จ แต่สามารถทำได้โดยใช้ซอฟต์แวร์พิเศษ เช่น ยูทิลิตี้ Process Explorer หากต้องการ "สแลม" บริการนี้โดยทางโปรแกรม การใช้ API ระดับบนสุดยังไม่เพียงพอ สิ่งนี้จะทำให้คุณต้องได้รับสิทธิ์ระดับเคอร์เนล ซึ่งทำให้การเขียนโปรแกรมดังกล่าวยากขึ้นมาก
หากคุณยังคงจัดการทำลายบริการเข้าสู่ระบบในระหว่างเซสชัน Windows คุณจะไม่เห็นสิ่งที่น่าสนใจบนหน้าจอยกเว้น "แครกเกอร์" Windows จะหยุดทำงานและจะต้องรีสตาร์ทคอมพิวเตอร์โดยกดปุ่มบนยูนิตระบบ
แม้ว่ากระบวนการ winlogon.exe จะไม่ปรากฏจากภายนอก แต่อย่างใด แต่ก็ยังมีหน้าต่างของตัวเอง เฉพาะหน้าต่างนี้เท่านั้นที่จะไม่แสดงบนหน้าจอและมองไม่เห็น อย่างไรก็ตาม รหัสการกดแป้นพิมพ์ทั้งหมดบนแป้นพิมพ์อยู่ในคิวข้อความของหน้าต่างนี้ แล้วพวกเขาก็มาถึงหน้าต่างของผู้ใช้เท่านั้น หน้าต่างนี้ไม่อนุญาตให้แป้นพิมพ์ลัดบางอันผ่านไปอีกและสงวนไว้สำหรับตัวมันเอง จึงแต่งตั้ง
การทดลองกับ bootloader
คุณสามารถเขียนเรื่องราวที่ยอดเยี่ยมในหัวข้อการทดลองกับกระบวนการ winlogon.exe ได้หากไม่ใช่นวนิยาย ใครไม่มีมือในเรื่องนี้? เริ่มต้นจากประชาชนผู้น่านับถือที่แสวงหาความสะดวกสบายเพิ่มเติมใน Windows ไปจนถึงผู้เลิกขาดความรับผิดชอบที่มีความรู้ด้านการเขียนโปรแกรมและผู้เขียนไวรัสที่เป็นอันตราย
การทดลองที่น่าสนใจบางอย่างอาศัยโปรแกรมเข้าสู่ระบบที่เข้าถึงรีจิสตรีคีย์แต่ละรายการโดยตรง ใช่ มันไม่เพียงแค่อ่านข้อมูลที่นั่น แต่ยังเปิดตัวโปรแกรมอื่น ๆ ที่มีชื่อเขียนอยู่ในคีย์เหล่านี้ ดังนั้นหากคุณเปลี่ยนชื่อเหล่านี้ คุณสามารถบรรลุปฏิกิริยาและระบบที่ค่อนข้างไม่เป็นมาตรฐานต่อกระบวนการเริ่มต้นได้
ตัวอย่างเช่น มอบรูปภาพที่แตกต่างจากรูปภาพที่ปรากฏขึ้นให้ผู้ใช้ปฏิเสธที่จะป้อนข้อมูลเข้าสู่ระบบและรหัสผ่าน เมื่อปรากฎว่ากระบวนการ winlogon.exe ยังรับผิดชอบในการออกเสียงข้อความของระบบด้วย นอกจากนี้ยังเปิดโอกาสที่ดีสำหรับผู้ที่ชื่นชอบการเจาะลึกถึงความกล้าของ Windows
แต่คำวิจารณ์ที่ใหญ่ที่สุดคือการใช้กระบวนการนี้เป็นพื้นฐานของไวรัสทั้งหมด ไวรัสบางตัวเลียนแบบงานเข้าสู่ระบบได้สำเร็จและสามารถก่อให้เกิดอันตรายร้ายแรงต่อผู้ใช้ได้
ต้องจำไว้ว่าไฟล์ใดๆ ที่มีชื่อเดียวกันกับโปรแกรมเข้าสู่ระบบที่อยู่นอกโฟลเดอร์ “\system32” และ “dllcache” แทบจะเป็นไวรัสอย่างแน่นอน
ลบไฟล์ที่น่าสงสัยดังกล่าวทันทีที่คุณพบ
ด้วยการเปิด “ตัวจัดการงาน” บนคอมพิวเตอร์ ผู้ใช้แต่ละคนจะสามารถเห็นกระบวนการที่ใช้งานอยู่ในแท็บกระบวนการ winlogon.exe- ในบทความนี้ ฉันจะพูดถึงว่ากระบวนการ winlogon.exe นี้คืออะไรและหน้าที่ของกระบวนการนี้ และยังอธิบายวิธีแยก Winlogon ออกจากไวรัส ซึ่งมักจะปลอมตัวเป็นกระบวนการที่ฉันกำลังพิจารณาอยู่
winlogon.exe ในตัวจัดการงานคืออะไร
ผู้ใช้ที่มีประสบการณ์เมื่ออ่านชื่อของกระบวนการนี้สามารถสรุปได้ว่าเนื่องจากชื่อมีคำว่า “ ชนะ" ดังนั้นกระบวนการนี้จึงอ้างอิงถึงกระบวนการ Windows OS และเนื่องจากชื่อมีโทเค็น " เข้าสู่ระบบ"(เข้าสู่ระบบ) จากนั้นกระบวนการ winlogon.exe จะจัดการขั้นตอนการเข้าสู่ระบบของผู้ใช้
เป็นที่ชัดเจนว่ากระบวนการ winlogon นี้สามารถมีเพียงสองสถานะ - ระบบและกระบวนการ Windows OS ที่น่าเชื่อถือ หรือไวรัส เวิร์ม หรือสปายแวร์ที่มีชื่อเดียวกัน ดังนั้นจึงเป็นสิ่งสำคัญมากในการระบุกระบวนการและคำถาม "winlogon.exe คืออะไร" มีความเกี่ยวข้องมาก
กระบวนการ winlogon.exe เริ่มทำงานเมื่อระบบปฏิบัติการเริ่มทำงานและมีอยู่ใน Windows OS ทุกรุ่นตั้งแต่ XP ถึง Windows 10 Microsoft สร้างขึ้นเพื่อปรับปรุงการทำงานของระบบปฏิบัติการและกอปรด้วยคุณสมบัติที่กว้างขวาง ฟังก์ชั่น
- Winlogon รับผิดชอบการทำงานและการปกป้องเดสก์ท็อป
- สำหรับการทำงานของระบบเครือข่ายคอมพิวเตอร์
- สำหรับการควบคุมสกรีนเซฟเวอร์
- กำลังโหลดโปรไฟล์ผู้ใช้
- ช่วยให้มั่นใจในความปลอดภัยของข้อมูลผู้ใช้และทำงานร่วมกับมาตรฐาน SAS
- ตรวจสอบสำเนาของ Windows OS
- รองรับการเข้าสู่ระบบและออกจากระบบของผู้ใช้ รวมถึงฟังก์ชันอื่นๆ อีกมากมาย
ไฟล์ปฏิบัติการของกระบวนการ winlogon.exe มักจะอยู่ในไดเร็กทอรีทั่วไปของ Windows OS ในโฟลเดอร์ System32 การหยุดไฟล์นี้ (รวมถึงการลบไฟล์) อาจส่งผลร้ายแรงต่อระบบปฏิบัติการของคุณได้
กระบวนการนี้เปิดตัวโดยกระบวนการ smss.exe เมื่อระบบปฏิบัติการบูท จากนั้นตัวมันเองจะเปิดกระบวนการ lsass.exe และ services.exe
เมื่อ winlogon.exe กลายเป็นภัยคุกคาม
บ่อยครั้งที่โปรแกรมไวรัสต่าง ๆ เจาะคอมพิวเตอร์ของผู้ใช้และทำงานภายใต้ชื่อ winlogon.exe (พบไวรัส Trojan.Goldun , W32.Netsky.D@mm , W32.IRCBot, W32.Neveg.A@mm และอื่นๆ อีกมากมาย)
เพื่อกำหนดจำนวนและตำแหน่งของไฟล์ winlogon.exeไปที่ตัวจัดการงานไปที่แท็บ "กระบวนการ" คลิกช่องทำเครื่องหมายถัดจากตัวเลือกเพื่อแสดงกระบวนการของผู้ใช้ทั้งหมด (ที่ด้านล่าง) ค้นหากระบวนการ winlogon.exe ทั้งหมดและโดยคลิกขวาที่แต่ละกระบวนการ เลือก "ตำแหน่งที่เก็บไฟล์เปิด"
หากไดเร็กทอรีใดเปิดให้คุณนอกเหนือจากไดเร็กทอรีที่ฉันกล่าวถึงข้างต้น แสดงว่าคุณมีไวรัสในคอมพิวเตอร์ของคุณ หากต้องการกำจัดมัน ให้ใช้โปรแกรมป้องกันไวรัสที่เชื่อถือได้ เช่น Trojan Remover, Dr.Web CureIt! และอื่น ๆ คุณยังสามารถใช้เครื่องมือที่มีประโยชน์เช่น Security Task Manager ซึ่งจะวิเคราะห์กระบวนการทั้งหมดที่ทำงานบนคอมพิวเตอร์ช่วยให้คุณสามารถลบรูปแบบที่ไม่จำเป็นและเป็นอันตรายได้
บ่อยครั้งที่การมีอยู่ของไวรัสในระบบจะถูกระบุด้วยข้อผิดพลาดเกี่ยวกับ winlogon ซึ่งปรากฏขึ้นเมื่อระบบปฏิบัติการกำลังโหลดและทำงาน หากคุณพบข้อผิดพลาดดังกล่าว ให้ตรวจสอบระบบของคุณเพื่อหามัลแวร์ต่างๆ ด้วย
บทสรุป
winlogon.exe คืออะไร กระบวนการที่ฉันกำลังพิจารณา winlogon.exe เป็นคุณลักษณะที่ไม่ต้องสงสัยของการทำงานของ Windows OS เป็นสิ่งสำคัญมากในการทำงานของระบบปฏิบัติการ และความเสียหายหรือการถอดออกอาจส่งผลร้ายแรงที่สุดต่อการทำงานของคอมพิวเตอร์ของคุณ ในเวลาเดียวกัน ซอฟต์แวร์ที่เป็นอันตรายหลายชนิดมักปลอมตัวเป็น Winlogon ทำให้ผู้ใช้ระบุและลบออกได้ยาก ตรวจสอบคอมพิวเตอร์ของคุณบ่อยขึ้นด้วยโปรแกรมป้องกันไวรัสที่ทรงพลังซึ่งจะปกป้องคุณจากไวรัสภายใต้แบรนด์ "winlogon.exe"
ระบบปฏิบัติการ Windows จะเริ่มทำงานหลังจากที่คอมพิวเตอร์ผ่านการทดสอบ POST ระบบย่อยการจัดการเซสชันและรันไทม์ไคลเอนต์/เซิร์ฟเวอร์เข้าถึงโปรแกรมเข้าสู่ระบบ winlogon.exe กระบวนการนี้คืออะไรใน Windows 7 อธิบายไว้ในบทความนี้
ฟังก์ชั่นโปรแกรม
“ Win” ระบุว่ากระบวนการเป็นของระบบปฏิบัติการ“ เข้าสู่ระบบ” (เข้าสู่ระบบ) ระบุว่าโปรแกรมเกี่ยวข้องกับขั้นตอนการเข้าสู่ระบบของผู้ใช้ - การรับรองความถูกต้อง
หลังจากยืนยันการเข้าสู่ระบบสำเร็จ winlogon.exe จะเปิดใช้งานรีจิสทรีและดำเนินการชุดคำสั่งเริ่มต้นที่เขียนในสาขาใดสาขาหนึ่ง ถัดไป เชลล์จะถูกเปิดใช้งานและเปิดตัว Explorer ซึ่งเป็นพื้นฐานของอินเทอร์เฟซ Windows
เปิดตัวโดยกระบวนการ smss.exe เมื่อระบบปฏิบัติการบูท จากนั้นตัวมันเองจะรวม lsass.exe และ services.exe
ฟังก์ชั่นหลักของโปรแกรม:
- ประสิทธิภาพและการปกป้องเดสก์ท็อป
- การทำงานของเครือข่ายคอมพิวเตอร์
- การควบคุมโปรแกรมรักษาหน้าจอ
- สร้างความมั่นใจในความปลอดภัยของข้อมูลผู้ใช้โดยทำงานร่วมกับมาตรฐาน SAS
- การตรวจสอบสำเนาของ Windows OS
- รองรับการเข้าสู่ระบบของผู้ใช้และออกจากระบบและอื่น ๆ
ตามค่าเริ่มต้น ไฟล์จะอยู่ในโฟลเดอร์ System32 หรือ SysWoW64 ขึ้นอยู่กับความลึกบิตของระบบ
ลักษณะเฉพาะ
กระบวนการ winlogon.exe ไม่สามารถยุติได้ในระดับผู้ใช้เนื่องจากเป็นกระบวนการของระบบ ประสิทธิภาพของโมดูลระบบปฏิบัติการส่วนใหญ่ขึ้นอยู่กับการมีอยู่ของมัน
กระบวนการดังกล่าวได้รับการควบคุมในระดับเคอร์เนลโดยมีความรู้ด้านการเขียนโปรแกรมระบบ อย่างไรก็ตาม หากคุณจัดการยุติ winlogon.exe ได้ Windows จะไม่เสถียรและอาจหยุดทำงานโดยสิ้นเชิง ซึ่งหมายความว่าคุณจะต้องรีสตาร์ทคอมพิวเตอร์
คุณสมบัติอีกประการหนึ่งของกระบวนการนี้คือการจัดการแป้นพิมพ์ลัดของระบบ ต่างจาก GNU/Linux ตรงที่ใน Windows ไม่สามารถกำหนดคีย์ใหม่ได้ เช่น “Alt + Tab” (เปลี่ยนหน้าต่างที่ใช้งานอยู่) หรือ “Ctrl + Alt + Delete” (ล็อคหน้าจอ) โดยใช้เครื่องมือมาตรฐาน
ข้อผิดพลาด winlogon
บางครั้งปัญหาเกิดขึ้นระหว่างกระบวนการติดตั้งซอฟต์แวร์บางตัว สิ่งนี้เป็นไปได้หากแอปพลิเคชันที่เกี่ยวข้องกับ winlogon.exe (เช่น FineReader OCR) กำลังทำงานอยู่ ในกรณีนี้ คุณต้องปิดโปรแกรมที่ไม่จำเป็นทั้งหมดก่อนการติดตั้งเพื่อหลีกเลี่ยงความขัดแย้งของระบบปฏิบัติการ
การติดเชื้อไวรัส
นักพัฒนาไวรัสใช้การแยก winlogon.exe ออกจากการกระทำของผู้ใช้อย่างมีประสิทธิภาพ การมีความรู้ในด้านแอปพลิเคชันและการเขียนโปรแกรมระบบช่วยให้ข้ามข้อจำกัดนี้และสร้างไวรัสที่มีชื่อเหมือนกันทุกประการ แต่อยู่ในตำแหน่งอื่นบนดิสก์ การติดไวรัสอาจระบุด้วยข้อความที่ winlogon.exe ได้เริ่มการรีสตาร์ท
- เปิด "ตัวจัดการงาน" โดยใช้คีย์ผสม "Ctrl + Shift + Esc"
- ไปที่แท็บกระบวนการ
- ตรวจสอบให้แน่ใจว่ามี winlogon.exe เพียงอันเดียวในรายการ มิฉะนั้น ให้ตรวจสอบไวรัสในคอมพิวเตอร์ของคุณ
