По всій видимості, будь-який користувач комп’ютерної системи, яка працює під управлінням Windows, так чи інакше, але використовував для виконання певних дій або завершення роботи завислих програм стандартний Диспетчер завдань». Процесів і служб, активних в певний момент часу, представлено в ньому дуже багато, але відразу впадає в очі служба Winlogon.exe. Що за процес користувач бачить? Системну службу або вірус? Якщо мова йде про чистої системі, це важливий компонент Windows, але у разі, коли з боку цього процесу спостерігається підвищене навантаження на системні ресурси, не виключається, що, на жаль, це може бути вірус (частіше всього він може відноситися до категорії троянів). Далі пропонується розглянути і оригінальну службу, і можливі загрози, що влаштувалися в систему без відома користувача.
Що за процес Winlogon.exe?
Почнемо з оригінального системного компонента. Щоб зрозуміти, що за процес Winlogon.exe, достатньо розібратися з його назвою. Напевно багато хто вже зрозуміли, про що йде мова. Win – скорочення від Windows logon – злите написання Log On.
Таким чином, неважко зробити висновок, що даний процес є службою входу в систему, причому не тільки при початковій завантаженні, але і при зміні користувача. При звичайному старті операційної системи він запускається службою smss.exe для забезпечення вибору користувача та паролю доступу до профілю, в свою чергу, ініціюючи старт інших системних компонентів (services.exe, lsass.exe і т. д.).
Основне призначення служби
Що ж стосується основних функцій, які покладені на цю службу, основними можна назвати наступні:
- вхід в систему та вихід з неї за допомогою контролю параметрів профілів зареєстрованих користувачів;
- стеження за безпекою даних;
- забезпечення функціонування «Робочого столу»;
- контроль мережевих підключень;
- забезпечення роботи скринсэйвера (якщо він включений і використовується);
- верифікація копій операційних систем.
Чому процес вантажить систему?
Але на цьому райдужному тлі можна зустріти і чорні плями. Іноді користувачі помічають, що даний компонент починає споживати невиправдано багато ресурсів з неймовірним збільшенням навантаження на центральний процесор і оперативну пам’ять, так, і система, невідомо чому видає повідомлення про те, що процес Winlogon.exe ініціював виконання якоїсь процедури (зазвичай мимовільне вимикання комп’ютера або перезавантаження). Чому так відбувається? Та тільки тому, що поряд з оригінальним процесом в системі оселився вірус, маскирующийся під цю системну службу.
Процес Winlogon.exe ініціював дію вимикання живлення: чому?
Так, дійсно, проблеми з харчуванням є найпоширенішими. Звичайні віруси себе так не ведуть. Але в даному випадку ми маємо справу з незвичайними погрозами. Незважаючи на те, що вони з’явилися дуже давно (трохи чи не на зорі розвитку перших комп’ютерів на основі Windows) і на сьогоднішній день, в общем-то, морально застаріли, проте останнім часом щось помічена їх підозріло висока активність. Але не тільки віруси можуть викликати вимикання або перезавантаження.
І в самій операційній системі вистачає налаштувань, які можуть встановлювати автоматичний режим керування живленням, що зазвичай пов’язано з відновленням після якихось збоїв.
Відключення автоматичного перезавантаження
Отже, що за процес Winlogon.exe трохи зрозуміло. Тепер давайте подивимося, які кроки можна зробити, щоб уникнути автоматичного рестарту або повного відключення комп’ютерних систем.
Для цього в розділі відновлення необхідно прибрати прапорець з пункту виконання автоматичної перезавантаження, перейшовши до нього через додаткові параметри у властивостях системи.
Як виявити вірусний процес?
Тепер зупинимося на тих моментах, коли видається попередження про те, що процес Winlogon.exe ініціював вимикання живлення. В даному випадку, як вже, напевно, зрозуміло, мова йде про виявлення вірусних загроз.
Насамперед необхідно заглянути в «Диспетчер завдань». В ньому може знаходитися тільки один (!) процес Winlogon.exe з атрибутом «Система». Якщо ви спостерігаєте два і більше однакових процесу, це точно віруси. Через меню ПКМ на обраному процесі потрібно перейти до пункту відображення розташування файлу.
Оригінальний системний компонент може знаходитися тільки в двох місцях: в каталозі System32 і іноді в папці dllcache (обидві розташовані в основний директорії Windows).
Як видалити троян?
Тепер розберемося з видаленням вірусних загроз. Виходимо з того, що вірус при видачі повідомлення про те, що процес Winlogon.exe ініціював дію включення живлення, виявлено. Як його нейтралізувати? Незважаючи на свою відносну за сучасними мірками неактуальність, обґрунтовуються такі загрози в системі досить глибоко, і далеко не всі антивірусні пакети здатні не те що їх знешкодити, але і навіть виявити. У будь-якому випадку в якості невідкладної заходи використовуйте який-небудь портативний сканер начебто Dr. Web CureIt!, попередньо відновивши для нього антивірусні бази.
Якщо результат буде нульовим, скористайтесь дискової утилітою Kaspersky Rescue Disk, при допомоги якого потрібно завантажитися зі знімного носія, на якому вона записана, а потім провести сканування системи ще до того, як стартує Windows.
Але давайте уявимо собі найгіршу ситуацію, коли загроза виявлена не була, але повідомлення про те, що процес Winlogon.exe ініціював дію з відключення або рестарту комп’ютера, видаються із завидною регулярністю. В цьому випадку доведеться зайнятися видаленням вірусу вручну. Перш ніж видалити папки і файли вірусу, слід зайти до реєстру (regedit) і звернутися до гілці HKLM і через розділ SOFTWARE дістатися до каталогу автоматичного оновлення (AutoUpdate). По ідеї, в ньому буде розташована підпапка RebootRequired.
Її разом з усім вмістом потрібно видалити.
Тепер слід перезавантажити систему в безпечному режимі, потім видалити всі файли з папки TEMP, а потім у редакторі реєстру перейти до гілки HCU. Через розділ SOFTWARE потрібно знайти такі каталоги і виконати видалення таких ключів:
- папка Run – ключ “Firewall auto setup”=”%windir%\winlogon.exe”;
- папки IEDesktop – “host”=”….”;
- папки IESecurity – “host”=”….”.
У наведеному прикладі параметр “….” позначає будь-яке вписане там значення. По завершенні всіх дій тепер можна видалити компоненти вірусу в «Провіднику» і виконати повне перезавантаження комп’ютера.
Кілька слів наостанок
Це дуже коротко про процес Winlogon. Зі зрозумілих причин чіткі механізми функціонування цієї служби не розглядалися, оскільки їх поглиблене опис пересічному користувачеві абсолютно нічого не дасть. Але найголовніше, що слід чітко засвоїти, – завершувати цей процес у примусовому порядку з використанням «Диспетчера завдань» не можна ні за яких обставин, якщо тільки мова не йде про віруси. Деактивація оригінального компонента призведе «всього лише» до появи синього екрану. Аналогічна ситуація може спостерігатися і у випадку завершення того процесу, якщо їх декілька. Тому попередньо слід провести визначення місця розташування файлів.