Winlogon exe не открывает место хранения файла

Обновлено: 05.07.2024

WINLOGON.EXE – это процесс, без которого невозможен запуск ОС Windows и её дальнейшее функционирование. Но иногда под его личиной кроется вирусная угроза. Давайте разберемся, в чем состоят задачи WINLOGON.EXE и какая опасность может исходить от него.

Сведения о процессе

Данный процесс можно всегда увидеть, запустив «Диспетчер задач» во вкладке «Процессы».

Какие же функции он выполняет и зачем нужен?

Основные задачи

Прежде всего, остановимся на основных задачах данного объекта. Его первостепенной функцией является обеспечение входа в систему, а также выхода из неё. Впрочем, это нетрудно понять даже из самого его наименования. WINLOGON.EXE называют также программой входа в систему. Она отвечает не только за сам процесс, но и за диалог с пользователем во время процедуры входа через графический интерфейс. Собственно, заставки при входе и выходе из Windows, а также окно при смене текущего пользователя, которые мы видим на экране, являются продуктом деятельности указанного процесса. В круг ответственности WINLOGON входит отображение поля для ввода пароля, а также проверка подлинности введенных данных, если вход в систему под конкретным именем пользователя запаролен.

Запускает WINLOGON.EXE процесс SMSS.EXE (Диспетчер сеанса). Он продолжает функционировать в фоне на протяжении всего сеанса. После этого уже сам активированный WINLOGON.EXE запускает LSASS.EXE (Сервис проверки подлинности локальной системы безопасности) и SERVICES.EXE (Диспетчер управления службами).

Для вызова активного окна программы WINLOGON.EXE, в зависимости от версии Виндовс, применяются сочетания Ctrl+Shift+Esc или Ctrl+Alt+Del. Также приложение активирует окно при запуске юзером выхода из системы или при горячей перезагрузке.

Завершение работы системы через меню Пуск в Windows

При аварийном или принудительном завершении WINLOGON.EXE различные версии Windows реагируют по-разному. В большинстве случаев это приводит к синему экрану. Но, например, в Windows 7 происходит только выход из системы. Наиболее частой причиной аварийной остановки процесса является переполненность диска C. После его очистки, как правило, программа входа в систему работает нормально.

Размещение файла

Теперь давайте выясним, где физически размещен файл WINLOGON.EXE. Это нам в будущем понадобится для отмежевания настоящего объекта от вирусного.

  1. Для того, чтобы определить место расположения файла с помощью Диспетчера задач, прежде всего нужно переключиться в нем в режим отображения процессов всех юзеров, произведя нажим на соответствующую кнопку.

Включение режима отображения процессов всех пользователей в Диспетчере задач Windows

В очень редких случаях процесс может ссылаться на следующую директорию:

Кроме того, из Диспетчера задач существует возможность перейти в непосредственное место расположения файла.

    В режиме отображения процессов всех пользователей щелкните по элементу правой кнопкой мыши. В контекстном меню выберите «Открыть место хранения файла».

Подмена вредоносной программой

Но иногда наблюдаемый в Диспетчере задач процесс WINLOGON.EXE может оказаться вредоносной программой (вирусом). Посмотрим, как отличить настоящий процесс от поддельного.

    Прежде всего, нужно знать, что в Диспетчере задач может быть только один процесс WINLOGON.EXE. Если вы наблюдаете больше, то один из них вирус. Обратите внимание, чтобы напротив изучаемого элемента в поле «Пользователь» стояло значение «Система» («SYSTEM»). Если процесс запускается от имени любого другого пользователя, например от имени текущего профиля, то можно констатировать факт, что мы имеем дело с вирусной активностью.

Сканирование системы антивирусной утилитой Dr.Web CureIt

Как видим, WINLOGON.EXE играет важную роль в функционировании системы. Он непосредственно отвечает за вход и за выход из неё. Хотя, почти что все время, пока пользователь работает на ПК, указанный процесс находится в пассивном состоянии, но при его принудительном завершении продолжение работы в Виндовс становится невозможным. Кроме того, существуют вирусы, которые имеют аналогичное имя, маскируясь под данный объект. Их важно в максимально короткие сроки вычислить и уничтожить.

Закрыть

Мы рады, что смогли помочь Вам в решении проблемы.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Закрыть

Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Помогайте, ребенок совсем убил работоспособность компьютера.

Очень тормозит, буквы печатаются с большим опозданием.

Диск С забит не понятно чем.

В диспетчере задач запущена куча процессов (скрины прилагаю) + подозрение вызывал этот процесс kbupdater-utility.exe (возможно, его убил антивирусник, но проверьте, плиз, может остались следы).

hijackthis.log 16,39К 5 Скачано раз диспетчер_1.jpg 633,29К 0 Скачано раз диспетчер_2.jpg 636,2К 0 Скачано раз

Чтобы починить компьютер, не обязательно быть технически подкованным человеком, важно иметь технически подкованных друзей. )

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig

Частенько по вечерам стал грузиться процессор, но причину я так и не нашла. Я где-то видела, что эти три процесса могут маскироваться, но являться вирусами. Как понять где они находятся? procexp64 показывает, что эти процессы не принадлежат к ветке system, однако здесь уже есть описание. Расположение не открывается. Поиском не нашла эти файлы в других папках, только в windows. Может оно так и должно быть? Но эти процессы не закрывается в диспетчере задач, убивать в procexp64 пока побаиваюсь, вдруг не вирусы. НО вчера один из этих процессов начал сильно грузить проц., примерно до 30%. Помогите разобраться.

//без описания//--- что конкретно вас интересует? Ок,
csrss.exe → важный системный процесс, отвечает за консольные приложения и итд
winlogon.exe → ваш вход/выход в систему, пример окно, что вы видите и уведомляет вас о Закрытие сеанса и это есть vbs_процесса winlogon.exe
RAVBg64.exe→ это драйвера вашей звуковой карты
и итд, и удалите этот_хлам advanced_system_care, что б не загружал ваш компьютер, у вас и так avg_антвирус ""грузит хост_csrss

и опишите, что за комп у вас или ж сами идем на сайт мат_платы (ежели у вас ПК) или на сайт производителя ноутбука (если у вас ноут) и скачайте_установите audio_driver перед этим удалив старый


Реально счастливая Профи (667)

Мне этот "хлам" порой очень помогает. Бывает нажимаю завершение работы, и он просто зависает на этой картинке "завершение работы", приходится путем длительного нажатия на кнопку. На следующий день делаю полный авторемонт в этой проге и после этого нормально выключается. Может мне его просто отключать пока не понадобится? Ну без антивируса вообще никак.

savoljavob Искусственный Интеллект (168309) //Мне этот "хлам" порой очень помогает//--это ""хлам сам по себе ничего не делает, тока запускает утилити, что встроенный в систему //Ну без антивируса вообще никак//--речь не антивирусе_avg //просто отключать пока не понадобится//-- безусловно, удалите все лишнее с Автозагрузки с помощью AutoRuns [ссылка] (msconfig не годится) //он просто зависает на этой картинке "завершение работы//--- все фоновые процессы и не дает Завершить работу вашей системы и потому все лишнее удалим с Автозагрузки

Посмотри в автозагрузке, там все фоновые процессы указаны.

Скриншоты не очень резкие, не видно. но, насколько я понимаю -- ты хочешь закрыть систему прерываний винды, то есть -- бездействие системы )). Это непростая задача )). Трудно остановить то, что и так стоит )).

Вадим Иванов Мыслитель (6425) Ну нельзя их убивать. C:\Windows\System32\csrss.exe -- процесс исполнения клиент-сервер, а C:\Windows\System32\winlogon.exe вообще программа входа в систему Windows. убьёшь систему, в ребут отправишь.

Вадим Иванов Мыслитель (6425) то, что ты обвела рамочкой -- нет, конечно. Да и не грузят они у тебя систему.

Подсистема клиент/сервер времени выполнения (англ. Client/Server Runtime Subsystem, CSRSS) или csrss.exe, входит в состав операционной системы Microsoft Windows NT, и представляет собой часть пользовательского режима подсистемы Win32. остольное тоже самое не трогай это системные файлы. Данная программа является критическим системным компонентом, отвечающим за вызовы функций подсистемы Win32. При её завершении система завершит работу с отображением синего экрана смерти.

У меня примерно пять раз на неделю вырубается комп, после перезагрузки пишет, мол ошибка или что-то такое. Описание проблемы блускрин. Бесит ужасно

посмотри в событиях ошибку. скорей всего крит ошибка. по ее номеру или смысла можно смотреть, если там ошибки нет придется качать проги в плодь до снятия лога низко уровнего

Реально счастливая Профи (667) Очень много всяких ошибок, я не знаю, какая из них та. В общем, как перезагрузится снова, запишу всё, потом буду искать решение. Спасибо за ответ.

Не использовал подобных программ.

Проверяли что в автозагрузке, используя msconfig или реестр?

В реестре смотрел,ничего чужого не было.

Вобщем пошёл на отчаянный шаг,переустановился.Вроде обе проблемы исчезли.
Но появилась другая, часто стал вылетать в бсод по адресу 0x000000D1: DRIVER_IRQL_NOT_LESS_OR_EQUAL
Опять же чтото с памятью связанное.Надо теститься.

Я только обрадовался, как после вынужденного ребута я опять увидел это окошко с винлогоном.
Мда. если переустановка виндовса не помогла ,то видимо что-то с железом.


Так. ещё что-то новенькое.Ещё даже до загрузке окна с выбором учеток вылетела ошибка "logonui.exe - ошибка приложения.из 0x0100ef76 в 0x00000010 память не может быть read"
Ещё стал частенько вылетать касперский. Rio-de-Janeiro
Проверьте программой CureIt (ака беплатная версия DrWeb). Rio-de-Janeiro установите виндовс с диска, в котором уверенно нет заразы, отформатировав системный раздел. Установите родные драйвера с дисков от устройств. не подключайте к компьютеру никаких флэшек, телефонов и т.п. Не переходите на разделы, которые не форматировали. Если комп будет работать стабильно- значит всему виной вирусы и не обязательно на компе, возможно, он заражается повторно, при использовании внешних носителей.
И еще, у Вас в профиле есть ОС Linux. Как компьютер будет вести себя в ней, тогда можно будет уже подтвердить или опровергнуть проблему с железом. Проверьте программой CureIt (ака беплатная версия DrWeb). Проверил,нашел пару жильцов по имени Trojan.Win32.Generic - удалил.Решилась ли проблемаь будет видно позже.
И еще, у Вас в профиле есть ОС Linux. Как компьютер будет вести себя в ней, тогда можно будет уже подтвердить или опровергнуть проблему с железом. Линуксом пользуюсь редко (всё-таки виндовс правит), но никаких ошибок не замечал.
Кстати какие программы посоветуете для тестирования памяти? Я до этого тестил встроенным линуксовым memtest 86+,возможно есть более эфективные? Проверьте программой CureIt (ака беплатная версия DrWeb). Проверил,нашел пару жильцов по имени Trojan.Win32.Generic - удалил.Решилась ли проблемаь будет видно позже.
И еще, у Вас в профиле есть ОС Linux. Как компьютер будет вести себя в ней, тогда можно будет уже подтвердить или опровергнуть проблему с железом. Линуксом пользуюсь редко (всё-таки виндовс правит), но никаких ошибок не замечал.
Кстати какие программы посоветуете для тестирования памяти? Я до этого тестил встроенным линуксовым memtest 86+,возможно есть более эфективные? Да скорее всего не в памяти дело, а в вирусах. А так несколько полных прогонов MemTest хватает.

Попробуйте эту чинилку. Применить, перезагрузиться.

Также Пуск — Выполнить, msconfig, OK; на вкладке Автозагрузка посмотрите, не вызываются ли какие-либо файлы, которые должны находиться в папке \Windows и т. п., на самом деле откуда-то из \Documents and Settings\…\Temp или вроде того. Или в реестре может для того же explorer.exe прописался ложный путь, по которому сидит его вирусный двойник.

Кстати, можете список Автозагрузки сюда выложить, глянем.

Чинилка не помогла(.Всё так же выскакивает ошибка.

В автозагрузке ничего подозрительного вроде нету.Можете глянуть ниже на скрине.

AVZ,исследование системы,лог сюда,только ссылка на ctfmon в верхнем регистре уже наводит на мысли. __________________
Нельзя починить только то, что ещё не сломано.
Толерантность-бред.

На этой странице показываются непроверенные изменения

В этой версии ожидает проверки 1 изменение. Опубликованная версия была проверена 30 декабря 2020.

Я сразу смазал карту будня,
правой кнопкой кликнул мыши,
главный приостановил процесс,
заставил кулеры крутиться тише.
Ctrl+Alt+Del вдруг отрубился -
и тут я высрал кирпича.
А вы
смогли бы засуспендить
winlogon
без Руссиныча?


Засуспендь winlogon.exe — форсед-мем /s/ нульчана. Первое упоминание замечено 30 мая 2009 года н. э., в треде про оперу, когда один анонимус запостил скрин своей Windows 7, а другой разглядел на нем билд 7000 и обозвал его некрофилом. Чуть позже, тот же анонимус упомянул про отключения Windows 7 каждые 2 часа, которые начнутся 1 июля и рассказал, что знает как запретить машине выключаться, объяснив что для этого нужно сделать. В этот же день и начался форс (ответ на любой вопрос «Засуспендь winlogon.exe», «А ты засуспендил winlogon.exe?», различные треды вроде «Я засуспендил winlogon.exe и перестал работать ctrl+alt+del», «Нульч, я засуспендил winlogon.exe, ну и что дальше?»). Затем последовали и фотожабы на эту тему.

7 июня 2009 года форс был успешно завален (но анонимус помнит).

Содержание



Winlogon — компонент операционной системы Microsoft Windows, отвечающий за вход в систему. и т. д. Winlogon запускается процессом SMSS вместе с процессом CSRSS. Для реализации диалога с пользователем Winlogon применяет библиотеку GINA (msgina.dll). GINA перехватывает, а Winlogon обрабатывает нажатия Ctrl-Alt-Del и Ctrl-Shift-Esc. winlogon.exe подгружает и выполняет код из библиотек Winlogon notification packages. Такие библиотеки применяются системой, программами и вирусами. Они не поддерживаются в Windows Vista (подробнее). Имя winlogon.exe используют некоторые вирусы — они находятся вне папки system32.

Настоящий процесс Winlogon.exe через стандартное WinAPI невозможно закрыть. Можно сторонними программами, например, Process Explorer. Можно своими руками, получив необходимые права доступа.



В состав Ubuntu входит утилита GNU suspend, позволяющая засуспендить до 4 винлогонов одновременно

При инициализации системы, после того как исполнительная подсистема (smss.exe) запускает winlogon, winlogon начинает создавать объекты WindowStation. Конкретнее — \Windows\WindowStation\WinSta0 — это объект, предоставляющий монитор, клавиатуру и мышь. После регистрации этого объекта создаются разные дескрипторы защиты, но к суспенду они не относятся. Потом создается два объекта «Desktop» — один для приложений, таких как explorer.exe или заставка (\WinSta0\Default), второй — это тот рабочий стол, который видно, если нажать Ctrl+Alt+Delete — (\WinSta0\Winlogon), второй ограничивается в доступе так, чтобы к нему можно было обратиться только из winlogon.exe (но к суспенду они тоже не относятся).

Ctrl+Alt+Delete служат комбинацией «для переключения» между рабочими столами пользователя и winlogon. Конечно winlogon еще массу вещей делает, но к делу это не относится, поэтому когда суспендишь winlogon.exe, то все запросы пользователя встают в очередь на обработку к winlogon.


Маха́яна-суспендизм (санскр. महयान, «великая колесница»; кит. 大乘, да-чэн; тиб. theg-pa chen-po) — позднейшая форма развития суспендизма, религии, основным обрядом которой является засуспенживание процесса winlogon.

В одном из соцопрос-тредов один анонимус написал такой пост:

В результате этого и зародился суспендизм, а его проповедующие стали называться суспендистами. Потом последовали унылые высеры анонимных петросянов (пример: «Slackware 12, 20, ебу суспендистов»), но всем похуй.

В сентябре 2020 года анонимус с Форчана слил почти полные исходные коды Windows XP, но таки без исходника винлогона.

Читайте также: