Автоматический вход при перезапуске с помощью Winlogon (ARSO)
Во время Обновл. Windows существуют пользовательские процессы, которые должны выполняться для завершения обновления. Эти процессы требуют, чтобы пользователь вошел на свое устройство. При первом входе после запуска обновления пользователи должны ждать завершения этих процессов, прежде чем они смогут начать работу с устройством.
Как это работает?
Когда Обновл. Windows инициирует автоматическую перезагрузку, ARSO извлекает производные учетные данные пользователя, сохраняет его на диске и настраивает автологон для пользователя. Обновл. Windows запуска в качестве системы с привилегиями TCB инициирует вызов RPC.
После окончательной перезагрузки Обновл. Windows пользователь автоматически войдет в систему с помощью механизма автологона, а сеанс пользователя восстанавливается с сохраненными секретами. Кроме того, устройство заблокировано для защиты сеанса пользователя. Блокировка инициируется с помощью Winlogon, а управление учетными данными выполняется локальным центром безопасности (LSA). После успешной настройки ARSO и входа сохраненные учетные данные немедленно удаляются с диска.
Автоматически войдите и заблокируя пользователя в консоли, Обновл. Windows может завершить определенные процессы, прежде чем пользователь вернется на устройство. Таким образом, пользователь может сразу же начать использовать свое устройство.
ARSO обрабатывает неуправляемые и управляемые устройства по-разному. Для неуправляемых устройств используется шифрование устройств, но не требуется пользователю для получения ARSO. Для управляемых устройств для настройки ARSO требуются TPM 2.0, SecureBoot и BitLocker. ИТ-администраторы могут переопределить это требование с помощью групповой политики. ARSO для управляемых устройств в настоящее время доступен только для устройств, присоединенных к идентификатору Microsoft Entra.
После Обновл. Windows индуцированной перезагрузки последний интерактивный пользователь автоматически вошел в систему и сеанс заблокирован. Это дает возможность запускать приложения с экрана блокировки пользователя, несмотря на Обновл. Windows перезагрузку.
Политика #1
Автоматический вход и блокировка последнего интерактивного пользователя после перезагрузки
В Windows 10 ARSO отключен для номеров SKU сервера и отключен для номеров SKU клиента.
Расположение групповой политики: конфигурация > компьютера Администратор истативные шаблоны > компонентов Windows > для входа в параметры
Политика Intune:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: Администратор istrative Templates
- Путь: \Компоненты Windows\Параметры входа в Систему Windows
Поддерживается: по крайней мере Windows 10 версии 1903
Описание.
Этот параметр политики определяет, будет ли устройство автоматически входить и блокировать последнего интерактивного пользователя после перезагрузки системы или после завершения работы и холодной загрузки.
Это происходит только в том случае, если последний интерактивный пользователь не вышел перед перезапуском или завершением работы.
Если устройство присоединено к Active Directory или идентификатору Microsoft Entra, эта политика применяется только к Обновл. Windows перезапускам. В противном случае применяется как к Обновл. Windows перезапускам, так и к перезапускам, инициированным пользователем, и к завершениям работы.
Если этот параметр политики не настроен, он включен по умолчанию. Если политика включена, пользователь автоматически войдет в систему. Кроме того, после загрузки устройства сеанс блокируется всеми приложениями экрана блокировки, настроенными для этого пользователя.
После включения этой политики можно настроить его параметры с помощью политики ConfigAutomaticRestartSignOn. Он задает режим автоматического входа и блокирует последнего интерактивного пользователя после перезагрузки или холодной загрузки.
Если этот параметр политики отключен, устройство не настраивает автоматический вход. Приложения экрана блокировки пользователя не перезапускается после перезагрузки системы.
Редактор реестра:
| Имя значения | Тип | Data |
|---|---|---|
| DisableAutomaticRestartSignOn | DWORD | 0 (включение ARSO) |
| 1 (отключение ARSO) |
Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Тип: DWORD
Политика #2
Настройка режима автоматического входа и блокировки последнего интерактивного пользователя после перезагрузки или холодной загрузки
Расположение групповой политики: параметры > входа в систему Windows Администратор устойчивые шаблоны > windows Components > Windows
Политика Intune:
- Платформа: Windows 10 и более поздних версий
- Тип профиля: Администратор istrative Templates
- Путь: \Компоненты Windows\Параметры входа в Систему Windows
Поддерживается: по крайней мере Windows 10 версии 1903
Описание.
Этот параметр политики управляет конфигурацией, в которой автоматический перезапуск и вход и блокировка возникают после перезагрузки или холодной загрузки. Если вы выбрали «Отключено» в политике «Вход и блокировка последнего интерактивного пользователя автоматически после перезагрузки», то автоматический вход не будет выполнен, и эта политика не должна быть настроена.
Если этот параметр политики включен, можно выбрать один из следующих двух вариантов:
- Значение «Включено, если BitLocker включен и не приостановлено», указывает, что автоматический вход и блокировка будут возникать только в том случае, если BitLocker активен и не приостановлен во время перезагрузки или завершения работы. Персональные данные можно получить на жестком диске устройства в это время, если BitLocker не включен или приостановлен во время обновления. Приостановка BitLocker временно удаляет защиту системных компонентов и данных, но может потребоваться в определенных обстоятельствах для успешного обновления критически важных компонентов загрузки.
- BitLocker приостановлен во время обновлений, если:
- Устройство не имеет TPM 2.0 и PCR7 или
- Устройство не использует средство защиты только для доверенного платформенного модуля
- BitLocker приостановлен во время обновлений, если:
- Always Enabled указывает, что автоматический вход произойдет, даже если BitLocker отключен или приостановлен во время перезагрузки или завершения работы. Если BitLocker не включен, персональные данные доступны на жестком диске. Автоматический перезапуск и вход должны выполняться только в этом условии, если вы уверены, что настроенное устройство находится в безопасном физическом расположении.
Если этот параметр отключен или не настроен, автоматический вход по умолчанию будет включен, если BitLocker включен и не приостановлен.
Редактор реестра
| Имя значения | Тип | Data |
|---|---|---|
| AutomaticRestartSignOnConfig | DWORD | 0 (включение ARSO в случае защиты) |
| 1 (всегда включить ARSO) |
Расположение реестра политик: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
Тип: DWORD
Устранение неполадок
Когда Winlogon выполняет вход, трассировка состояния Winlogon хранится в журнале событий Winlogon. Проверьте журналы > приложений и служб Microsoft > Windows > Winlogon в Просмотр событий для следующих событий Winlogon>:
| ИД события | Описание события | Источник событий |
|---|---|---|
| 1 | Authentication started. | Winlogon |
| 2 | Authentication stopped. Result 0 | Winlogon |
Состояние попытки настройки ARSO хранится в журнале событий LSA. Проверьте журналы > приложений и служб Microsoft > Windows > LSA в Просмотр событий для следующих событий LSA>:
| ИД события | Описание события | Источник событий |
|---|---|---|
| 320 | Automatic restart sign on successfully configured the autologon credentials for: Account name: Account Domain: | LSA |
| 321 | Automatic restart sign on successfully deleted autologon credentials from LSA memory | LSA |
| 322 | Automatic restart sign on failed to configure the autologon credentials with error: | LSA |
Причины сбоя автолога
Существует несколько случаев, когда невозможно достичь автоматического входа пользователя. Этот раздел предназначен для отслеживания известных сценариев, в которых это может произойти.
Пользователь должен сменить пароль при следующем входе
Имя входа пользователя может ввести заблокированное состояние при изменении пароля при следующем входе. Это может быть обнаружено до перезапуска в большинстве случаев, но не все (например, срок действия пароля может быть достигнут между завершением работы и следующим именем входа.
Учетная запись пользователя отключена
Существующий сеанс пользователя можно поддерживать даже в том случае, если он отключен. Перезапуск учетной записи, которая отключена, можно обнаружить локально в большинстве случаев заранее, в зависимости от групповой политики она может не быть для учетных записей домена (некоторые сценарии входа в кэшированные домены работают, даже если учетная запись отключена на контроллере домена).
Часы входа и родительские элементы управления
Часы входа и родительские элементы управления могут запретить создание нового сеанса пользователя. Если во время этого окна произошла перезагрузка, пользователь не сможет войти в систему. Политика также вызывает блокировку или выход в качестве действия соответствия требованиям. Регистрируется состояние попытки автологона.
Сведения о безопасности
В средах, где физическая безопасность устройства обеспокоена (например, устройство может быть украдено), корпорация Майкрософт не рекомендует использовать ARSO. ARSO зависит от целостности встроенного ПО платформы и доверенного платформенного модуля, злоумышленник с физическим доступом, возможно, сможет скомпрометировать эти данные, и таким образом получить доступ к учетным данным, хранящимся на диске с включенным ARSO.
В корпоративных средах, где безопасность пользовательских данных, защищенных API защиты данных (DPAPI), не рекомендуется использовать ARSO. ARSO отрицательно влияет на данные пользователей, защищенные DPAPI, так как расшифровка не требует учетных данных пользователя. Предприятия должны проверить влияние на безопасность пользовательских данных, защищенных DPAPI, прежде чем использовать ARSO.
Сохраненные учетные данные
| Хэш паролей | Ключ учетных данных | Билет на предоставление билетов | Основной маркер обновления |
|---|---|---|---|
| Локальная учетная запись — да | Локальная учетная запись — да | Локальная учетная запись — нет | Локальная учетная запись — нет |
| Учетная запись MSA — да | Учетная запись MSA — да | Учетная запись MSA — нет | Учетная запись MSA — нет |
| Присоединенная учетная запись Microsoft Entra — да | Присоединенная учетная запись Microsoft Entra — да | Учетная запись, присоединенная к Microsoft Entra, — да (если гибридная версия) | Присоединенная учетная запись Microsoft Entra — да |
| Учетная запись, присоединенная к домену, — да | Учетная запись, присоединенная к домену, — да | Учетная запись, присоединенная к домену, — да | Учетная запись, присоединенная к домену, — да (если гибридная) |
Взаимодействие Credential Guard
ARSO поддерживается с поддержкой Credential Guard на устройствах, начиная с Windows 10 версии 2004.
Дополнительные ресурсы
Автологон — это функция, которая присутствует в Windows для нескольких выпусков. Это документированная функция Windows, которая даже имеет такие средства, как autologon для Windows http:/technet.microsoft.com/sysinternals/bb963905.aspx. Он позволяет одному пользователю устройства автоматически входить без ввода учетных данных. Учетные данные настраиваются и хранятся в реестре в качестве зашифрованного секрета LSA. Это может быть проблематично для многих случаев, когда блокировка учетной записи может происходить между временем сна и пробуждением, особенно если период обслуживания обычно находится в течение этого времени.
Почему на моем компьютере запускается процесс winlogon.exe
Процесс Winlogon.exe является очень важной частью операционной системы Windows, и Windows будет непригодна для использования без него.
Этот процесс выполняет множество критических задач, связанных с процессом входа в Windows. Например, при входе winlogon.ехе отвечает за загрузку профиля пользователя в реестре. Это позволяет программам использовать ключи в разделе HKEY_CURRENT_USER, которые различны для каждой учетной записи пользователя Windows.
Процесс Winlogon.exe имеет специальные «крючки» в системе, и постоянно наблюдает, нажимаете ли Вы Ctrl + Alt + Del . Это называется «безопасная последовательность внимания», и поэтому некоторые компьютеры могут быть настроены так, чтобы требовать от вас нажатия Ctrl + Alt + Del , прежде чем войти. Это сочетание клавиш всегда улавливается winlogon.exe, который гарантирует, что вы входите на защищенном рабочем столе, где другие программы не могут контролировать пароль, который вы вводите.
Windows Logon Application также отслеживает клавиатуру и мышь и отвечает за блокировку компьютера и запуск хранителя экрана после определенного периода бездействия.
Таким образом, Winlogon является важной частью процесса входа в систему и должен оставаться запущенным в фоновом режиме.
Можно отключить Windows Logon Application
Вы не можете отключить этот процесс. Это важная часть Windows, и он должен быть запущена в любое время. В любом случае, нет причин отключать его, так как он использует крошечное количество ресурсов в фоновом режиме для выполнения критических системных функций.
Если вы попытаетесь завершить процесс из диспетчера задач, вы увидите сообщение о том, что завершение процесса «приведёт к тому, что Windows станет непригодной для использования или завершит работу».
Если вы обойдете это сообщение, ваш экран станет черным, и ваш компьютер даже не ответит на Ctrl + Alt + Del . Чтобы продолжить, необходимо перезагрузить компьютер.
Windows всегда будет запускать этот процесс при запуске компьютера. Если Windows не удается запустить winlogon.ехе или другой важный системный процесс, ваш компьютер покажет синий экран с кодом ошибки 0xC000021A.
Windows Logon может быть вирусом
Это нормально, что winlogon.exe всегда запущен в вашей системе. Настоящий winlogon.exe находится в каталоге C:\Windows\System32 вашей системы. Чтобы проверить это, щелкните правой кнопкой мыши по процессу в Диспетчере задач и выберите пункт Открыть расположение файла.
Если вы видите, что winlogon.exe файл находится в любой другой директории, у вас есть проблема. Вирус или другой тип вредоносного ПО может замаскировать себя как этот процесс в попытке скрыться в фоновом режиме. Активное использование ресурсов процессора или памяти является ещё одним признаком заражения этого процесса.
Включение автоматического входа в Windows
В этой статье описывается, как настроить Windows для автоматизации процесса входа путем хранения пароля и других сведений в базе данных реестра. С помощью этой функции другие пользователи могут запустить компьютер и использовать выбранную вами учетную запись для автоматического входа.
Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10, Windows 11
Оригинальный номер базы знаний: 324737
Функция автоматического входа предоставляется для удобства. Однако эта функция может представлять угрозу безопасности. Если вы настроите компьютер для автоматического входа, любой человек, который может физически получить доступ к компьютеру, может получить доступ ко всему содержимому компьютера, включая все подключенные к нему сети. Кроме того, при включенном автоматическом входе пароль хранится в реестре в виде простого текста. Определенный ключ реестра, который хранит это значение, может быть удаленно прочитан группой «Пользователи, прошедшие проверку подлинности». Этот параметр рекомендуется использовать только в тех случаях, когда компьютер физически защищен и приняты меры, которые позволяют убедиться, что недоверенные пользователи не могут удаленно получить доступ к реестру.
Использование редактора реестра для включения автоматического входа
В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную копию и восстановить реестр, см. статью Сведения о резервном копировании и восстановлении реестра Windows.
Чтобы использовать редактор реестра для включения автоматического входа, выполните указанные ниже действия:
- Нажмите кнопку Пуск и выберите пункт Выполнить.
- В поле Открыть введите команду Regedit.exe и нажмите клавишу ВВОД .
- Найдите подраздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в реестре.
- В меню Правка выберите пункт Создать, а затем — Строковый параметр.
- Введите AutoAdminLogon и нажмите клавишу ВВОД .
- Дважды щелкните AutoAdminLogon.
- В диалоговом окне Изменение строкового параметра введите 1 и нажмите кнопку ОК.
- Дважды щелкните запись DefaultUserName, введите имя пользователя и нажмите кнопку ОК.
Дважды щелкните запись DefaultPassword, введите пароль и нажмите кнопку ОК.
Если значения DefaultPassword не существует, его необходимо добавить. Чтобы добавить значение, выполните следующие действия.
- В меню Правка выберите пункт Создать, а затем — Строковый параметр.
- Введите DefaultPassword и нажмите клавишу ВВОД .
- Дважды щелкните DefaultPassword.
- В диалоговом окне Изменение строкового параметра введите пароль и нажмите кнопку ОК.
Примечание. Если строка DefaultPassword не указана, Windows автоматически изменяет значение ключа AutoAdminLogon с 1 (true) на 0 (false), отключая функцию AutoAdminLogon.
Настройка AutoAdminLogon с помощью средства Sysinternals
Сведения о скачивании и использовании см. в разделе Autologon — Sysinternals. После настройки AutoAdminLogon с помощью данного средства пароль будет храниться в секрете локального центра безопасности (LSA) вместо ключа Winlogon.
- Чтобы обойти процесс AutoAdminLogon и войти в систему в качестве другого пользователя, нажмите кнопку Shift и удерживайте ее после отключения или перезапуска Windows.
- Это запись в реестре не работает, если значение баннера входа определяется на сервере объектом групповой политики (GPO) или локальной политикой. Если политика изменена таким образом, чтобы она не повлияла на компьютер, функция автоматического входа работает так, как ожидается.
- Когда активны ограничения паролей Exchange Active Sync (EAS), функция автоматического входа не работает. Такое поведение является особенностью данного продукта. Это поведение вызвано изменением в Windows 8.1 и не влияет на Windows 8 или более ранние версии. Чтобы обойти это поведение в Windows 8.1 и более поздних версиях, удалите политики EAS в панели управления.
- Логотип интерактивной консоли с другим пользователем на сервере изменяет запись реестра DefaultUserName в качестве последнего зарегистрированного индикатора пользователя. AutoAdminLogon использует запись DefaultUserName в соответствии с пользователем и паролем. Таким образом, AutoAdminLogon может вызвать ошибку. Вы можете настроить сценарий выключения, чтобы установить правильное значение DefaultUserName.
Домены AutoAdminLogon и Active Directory
После запуска компьютера может пройти некоторое время, прежде чем сетевое подключение будет установлено из-за следующих причин:
- Для настройки динамического IP-адреса с помощью конфигурации DHCP может потребоваться использование ретрансляторов DHCP.
- Требование для проверки подлинности в точке доступа к беспроводной сети.
- Требование для проверки подлинности в службах проверки подлинности проводной сети.
- Для установления подключения между клиентской сетью и сетью с контроллерами домена требуются другие сетевые службы.
Групповая политика («Всегда ожидать инициализации сети при загрузке и входе в систему») позволяет гарантировать, что компьютер в качестве члена домена ожидает, пока сеть домена станет доступной. Дополнительные сведения см. в следующих статьях:
- Оптимизация входа
- Всегда ожидать инициализации сети при загрузке и входе в систему
С помощью групповой политики можно отложить попытку входа в систему до завершения обработки групповой политики при загрузке. Это также гарантирует доступность сети с контроллерами домена.
Компьютеры, присоединенные только к доменам AutoAdminLogon и Microsoft Entra
После запуска компьютера может пройти некоторое время, прежде чем сетевое подключение будет установлено из-за следующих причин:
- Для настройки динамического IP-адреса с помощью конфигурации DHCP может потребоваться использование ретрансляторов DHCP.
- Требование для проверки подлинности в точке доступа к беспроводной сети.
- Требование для проверки подлинности в службах проверки подлинности проводной сети.
- Для установления подключения между клиентской сетью и сетью с подключением к Интернету требуются другие сетевые службы.
Нет доступных параметров для задержки автоматического входа пользователя Microsoft Entra ID до тех пор, пока не станет доступно сетевое подключение. Попытка компьютера выполнить вход завершается ошибкой, так как конечная точка сервера не доступна для обработки запроса на вход.
Заявление об отказе от ответственности за сведения о продуктах сторонних производителей
В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.
Заявления об отказе от ответственности в связи с деятельностью и решениями сторонних производителей
Содержащиеся в документе сведения и рассмотренные решения отражают позицию корпорации Майкрософт в отношении обсуждаемых вопросов на момент публикации. Для получения данного решения необходимо обратиться в корпорацию Майкрософт или к сторонним поставщикам. Ни один из независимых поставщиков и ни одно из решений сторонних разработчиков, описываемых в данной статье, не являются предпочтительными с точки зрения корпорации Майкрософт. Кроме независимых поставщиков и решений сторонних разработчиков, упомянутых в данной статье, могут существовать и другие поставщики и решения. В условиях меняющейся рыночной конъюнктуры эти сведения не следует рассматривать в качестве какого бы то ни было обязательства со стороны корпорации Майкрософт. Корпорация Майкрософт не подтверждает и не гарантирует точности сведений и решений, предоставленных корпорацией Майкрософт или упомянутыми сторонними разработчиками.
Корпорация Майкрософт не предоставляет никаких гарантий и отказывается от явных, подразумеваемых или предусмотренных законодательством гарантий, заверений и условий, Такие условия включают (но не ограничиваются только ими) заявления, гарантии или условия права собственности, ненарушения прав, удовлетворительного состояния, товарного состояния и пригодности для конкретной цели в отношении любой услуги, решения, продукта или любых других материалов или информации. Корпорация Майкрософт не несет ответственности за решения сторонних разработчиков, упомянутые в данной статье.
Обратная связь
Были ли сведения на этой странице полезными?
Как удалить winlogon
Подлинный файл является одним из компонентов программного обеспечения Microsoft Windows, разработанного Microsoft .
WinLogon — это аббревиатура от Windows Logon
Winlogon.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли winlogon.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с winlogon.exe
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу Windows Logon Application. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы winlogon.exe.
Информация о файле winlogon.exe
Описание: winlogon.exe — это процесс, осуществляющий функционирование менеджера входа в систему Windows, обработку входа и выхода из системы пользователя. Вы видите этот процесс в действии каждый раз, когда операционная система запрашивает ваши логин и пароль. Он также отвечает за загрузку профилей пользователя после авторизации, отвечает за автоматическую авторизацию (когда это уместно) и отслеживает активность клавиатуры и мыши, чтобы принять решение, когда вызывать заставку.
Подробный анализ: winlogon.exe часто вызывает проблемы и необходим для Windows. Winlogon.exe находится в папке C:\Windows\System32. Известны следующие размеры файла для Windows 10/11/7 507,904 байт (23% всех случаев), 509,440 байт и еще 45 варианта .
Приложение не видно пользователям. Это файл, подписанный Microsoft. Winlogon.exe способен записывать ввод данных, манипулировать другими программами и мониторить приложения. Поэтому технический рейтинг надежности 20% опасности.
Вирусы с тем же именем файла
Является ли winlogon.exe вирусом? Нет, это не вирус. Настоящий файл winlogon.exe — это безопасный системный процесс Microsoft Windows, который называется «Windows Logon Application». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: вроде Win32:Malware-gen (определяется антивирусом Avast), и Trojan.Usuge!gen3 или Trojan.Bamital.B!inf2 (определяется антивирусом Symantec).
Чтобы убедиться, что работающий winlogon.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.
Как распознать подозрительные процессы?
- Если winlogon.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 68% опасности. Размер файла 390,144 байт (71% всех случаев), 735,744 байт и еще 5 варианта . Это не системный файл Windows. Нет более детального описания программы. Winlogon.exe способен мониторить приложения и записывать ввод данных.
- Если winlogon.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 75% опасности. Размер файла 42,687 байт (25% всех случаев), 88,576 байт и еще 5 варианта . Это не системный файл Windows. Приложение не видно пользователям. У файла нет информации о создателе этого файла. Winlogon.exe способен записывать ввод данных, мониторить приложения, спрятать себя и манипулировать другими программами.
- Если winlogon.exe находится в подпапках C:\Windows, тогда рейтинг надежности 68% опасности. Размер файла 389,120 байт (20% всех случаев), 308,726 байт, 331,264 байт, 434,187 байт или 1,185,271 байт.
- Если winlogon.exe находится в папке C:\Windows, тогда рейтинг надежности 80% опасности. Размер файла 301,056 байт (33% всех случаев), 93,475 байт или 159,744 байт.
- Если winlogon.exe находится в папке «C:\Program Files», тогда рейтинг надежности 59% опасности. Размер файла 274,432 байт (50% всех случаев) или 45,056 байт.
- Если winlogon.exe находится в папке Windows для хранения временных файлов , тогда рейтинг надежности 48% опасности. Размер файла 16,896 байт.
- Если winlogon.exe находится в подпапках диска C:\, тогда рейтинг надежности 56% опасности. Размер файла 51,712 байт.
- Если winlogon.exe находится в подпапках C:\Windows\System32, тогда рейтинг надежности 46% опасности. Размер файла 13,179,660 байт.
Важно: Некоторые вредоносные программы маскируют себя как winlogon.exe, особенно, если они расположены не в каталоге C:\Windows\System32. Таким образом, вы должны проверить файл winlogon.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
| у меня winlogon.exe сидел в windows-system (нашёл через поиск винды) чтобы удалить зашёл в пользователь с отключённым интернетом прошёл в папку и удалил ВСЁ wam |
| Это процесс входа в систему Windows. Дмитрий |
| Известно более сотни вирусов (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D и множество других), использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе. Так что надо смотреть в каком каталоге находится winlogon.exe. Юра |
| Иногда трояны используют этот процес для внезапного «викидывания» в окно приветствия, для того, чтобы узнать имя пользователя и пароль для входа в систему Игорь |
| если он грузит проц, значит это вирус. 100% СС |
| поиск через вину показал два: один в C:\WINDOWS\SISTEM32 размер 498кб ,другой в C:\WINDOWS\Prefetch файл «РF» размер 12кб денис |
| да,господа,файл очень уязвим,особенно для вирусняка BackDoorDDos,который хитро распахивает ваш комп для «дяди»,хорошо ловится firewall’ом drweb’om,но удаляется только через программу unlocker,остается пустая папка»для чтения»-метите и ее.Файл winlogon.exe ОБЯЗАН лежать в system32 и в system32\dllcashe отдельным файлом без всяких подпапок!Из software distribution метите тоже !Если сомневаетесь,лучше сделать команду scannow,вставить диск винды и кривой файл заменится виндовским родным.Может сделать МНОГО БЕДЫ ! igabarg-Ukraine |
| Поиском в Тотал Командер нашел два winlogon.exe: c:\WINDOWS\ServicePackFiles\i386\ и c:\WINDOWS\system32\ оба по 507904 байт, хотя в свойствах (подсказка) указан размер 496 КБ. Система периодически ругается на этот файл. NOD32 вирус не обнаруживает. Иван |
| winlogon.exe является системной программой, обеспечивающей вход пользователя в систему, запуск оболочки Рабочего стола, завершение работы и т.п. Однако, данный файл должен находится только в папке C:\WINDOWS\system32 и/или C:\WINDOWS\system32\dllcache Наличие данного файла в C:\WINDOWS, C:\WINDOWS\system32\drivers или C:\WINDOWS\system может означать наличие вируса на ПК. Кот |
| Вообще winlogon.exe процесс отвечающий за вход в систему, если начинает забивать процессор под 50-100% могут быть варианты: 1)при загрузки компьютера; 2)просто заглючил; 3) под него маскируется вирус; 4) сам файл заражен. Варианты решения 1) подождать; 2) нажать Win+L (win — кнопка на клавиатуре вызывающая меню пуск) выбрать пользователя; 3) обычным поиском найти все файлы с тем же именем и расщирением и поудалять (если боитесь можно переименовывать) тот что в папке C:\Windows\System32 НЕ ТРОГАТЬ!; 4) проверить файл C:\Windows\System32\winlogon.exe антивирусами (разными, говорят касперский и нортон не берут, а Нод видит, можно так же попробовать утилиты типа Trojan Remover или RegistryBooster) Иван |
| если грузит ЦП то это БЕДА! мой касперский с поврежденными сигнатурами(лучше вам не знать что я там творил) выдает что это «потенциально опасное по» к томуже вмешивается в процессы браузеров.Вывод очевиден но. к томуже процесс системный завершить некак нельзя(я не могу по крайней мере) БЕДА tuma0_спасите_мой_комп |
| А у меня с этой хренью проблема появился в сетевых соединениях и из за него не работают антивирус и торрнент, удалить нельзя ;( |
| У меня этот файл(сидит в c:\WINDOWS\system32) грузит проц на 50% всегда. Болеет камп |
| При появлении баннера изменяется путь к winlogon, что и приводит к срыву системы. |
| Загружает цп на 41%. Владислав |
| у меня тажа беда, грузит проц на 30%, незнаю уж что и делать cryengen3 |
| грузил процессор на 50%. DrWebCureit никак не отреагировал на него в памяти. При сканировании самого файла на диске тоже не нашел вируса. Файлов было два, в C:\Windows\System32 и в C:\WINDOWS\system32\dllcache. Я так понял, их и должно быть два. Т.к. после отката их осталось столько же. Решил не заморачиваться и просто откатил систему назад. Благо, две недели назад делал образ С на акронисе. По времени минут 15 на всё. После отката загрузка процессора winlogon.exe — 00% Бэкап — сильная вещь) бэкапщщик) |
| У меня на серверной машине winlogon.exe грузит 100% ядра (одного из 4) Пока что нету доступа до машины то я немного решил проблему снижением приоритета для процесса . Вано Хачеус |
| В диспетчере задач увидела,что этот winlogon бурно действует. Через поиск в папке c:\WINDOWS нашлось 70 папок и файлов с winlogon. Но комп. как бы нормально работает не глючит. Вот теперь и не знаю удалять их или не надо.[URL=http://fastpic.ru/][IMG]http://i2.fastpic.ru/big/2011/0514/1f/4726c9c295d150800fa69ba46756761f.png[/IMG][/URL] Это вот только 1 из 7 скринов Наташа |
| еще раз проверила по поиску в c:\WINDOWS но уже winlogon.exe нашлось14 отдельных файлов, без папок. DR WEB и avz их игнорируют. Наташа |
| http://support.microsoft.com/kb/953675/ru?sd=gn (дополнительная информация) Даша |
| у меня грузит на 10% процессор Иван |
| у меня тоже из-за него не работает антивирус,тока вхожу в нет сразу картинка winlogon.exe ошибка приложения и т.д вадик |
| У меня подобная проблема WINLOGON.EXE — ошибка приложения инструкция по адресу «0х00000000» обратилась к памяти по адресу «0х00000000» Память не может быть «read». ОК — завершение, Отмена — отладка приложения. Смотрел файл по пойску, видимый, весит 498 кб, сидит в System 32, в окне процессов занимает 50% от работы памяти. Илья |
| winlogin.exe ошибка приложения ошибка приложения память не может быть read 0x7c90fe60 0x9a5f0000 |
| А я взял раза 4-5 его завершал, ну он больше не включался на некеторое время, а загрузка процессора это вообще капец он берет столько, сколько сможет если например опера берет 7-8, то он берет 92-93. black_maga |
| я удалил winlogon.exe с помощью антивируса командой открыть и удалить. Я повредил систему. Она не запускается. Через установочный диск восстановить невозможно. Будте осторожны. Я так потерял все свои файлы. Павел |
| Не работал ютуб. Решил перегрузить комп, а он при выключении выдал winlogon не может быть read. Потом перегрузил систему и при включении такая же ошибка. Я нажал ок и экран стал синий с какими-то иероглифами. Теперь включаю, а комп не вкл. — шумят вентиляторы а лампочка процессора даже не горит. Саша |
| winlogon.exe это Программа Для Входа В Систему Её Удалять НЕЛЬЗЯ! Нету Вирусов! Если Удалиш В Систему Не Зайдеш Hasarr314 |
| важный файл,но не как не защищеный Густав |
| На неделе раза 3 выскакивало это приславутое сообщение после комп перезагружался с неприятным мельканием синего экрана с описанием ошибки белыми буквами проверил диск С: там только 1 winlogon Считаю что мне повезло Причина вылетания непонятна как и периодичность. Я насторожен. Скорее всего это вредоносные сайты и всякая бурда в интернете! Максим |
| Да, вот ссылки на NT AUTORITY :http://forum.ixbt.com/topic.cgi?id=4:54604 ; http://monitor.espec.ws/section13/topic39381.html ; http://adminxp.ru/nt-authority-system/ и так далее. И ещё совет:тщательно проверьте и очистите(ну хоть вручную)папки Temp,Temporari и Префетч ,потому что там скапливается часто всякая нечисть. Sivis/ |
| Была проблема с WINLOGON.EXE Решение было моментальным у меня стоит прога Spyware Terminator 2.8.3.283 при запуске WINLOGON.EXE Spyware вывел тобличку о запуске процессора с рекомендацией Блокировать угрозу в Результате чего ЦП в норме!! фаил WINLOGON.EXE только 1 по кординатам C:\WINDOWS\system32 Рекомендую влучае получения такого вируса установить Spyware Terminator «doctor» Рома |
| Nod32 запалил его сразу но не удалял, проблему решил запуском через Б\Р про верил на наличие вирусов, Сразу все удалило. Находился он в Оперативной памяти, Выдавало как Win32/dorkbot.b В ручном режиме нашел в папке Temp файл как Oezoz.exe удалил и очистил папку под НОЛЬ. Проблема решина! больше его нет! Известны факты перегрева процессора и оперативной памяти из-за сего гада. Олег |
| а что значит у меня при сканировании антивирусника показывает всегда маячок трояна Рост |
| у меня проблема была такая: при запуске винды выскакивало окошко в нем были непонятные символы,при нажатии «ок»компьютер загружался.В диспетчере задач нашол не понятный процес winlogon.exe .При сканировании системы ни нод ни авз ошибок не нашол.Через поиск винды нашло два файла один в c:\WINDOWS\system32 а второй в c:\WINDOWS\Prefetchf в нем и была вся загвоздка. твердый |
| у меня при каждой попытке удалить его выкидало еще одно окно, случайно запустил и все, заблокировался доп.винд.Потом нашел сам файл,(в program files)удалил,но NOD32 при перезагрузке всеравно ругается и удалить не может.help может у кого-то усть инфа про такую проблему Серж |
| он очень нужен пожалуйста не удаляйте его и иначе покажет синий экран он запускается автоматически при включения компьютера будте осторожны рекомендую установить Kanspersky Internet Seciurity с сайта Кансперского для его защиты grisha22 |
| при сканировании антивирусника у меня выскакивает 28.06.2012 21:41:26 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(604) модифицированный Win32/Dorkbot.B червь очистка невозможна ЧТО ДЕЛАТЬ. Юля |
| Здравствуйте! Вся надежда на Ваш сайт, у меня во время дефрагментации диска С выбило електроенергию, теперь при загрузке компа черный экран и окно winlogon.exe — неверный образ: приложение или библиотека С:/windows/system32/kbdeu.dll не является образом программы для Windows NT Проверьте назначение установочного диска. Можно ли что-то сделать? Виктор |
| у меня при каждой попытке удалить его выкидало еще одно окно, случайно запустил и все, заблокировался доп.винд.Потом нашел сам файл,(в program files)удалил,но NOD32 при перезагрузке всеравно ругается и удалить не может.help может у кого-то усть инфа про такую проблему Серж |
| он очень нужен пожалуйста не удаляйте его и иначе покажет синий экран он запускается автоматически при включения компьютера будте осторожны рекомендую установить Kanspersky Internet Seciurity с сайта Кансперского для его защиты grisha22 |
| при сканировании антивирусника у меня выскакивает 28.06.2012 21:41:26 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(604) модифицированный Win32/Dorkbot.B червь очистка невозможна ЧТО ДЕЛАТЬ. Юля |
| Программа для входа в систему ТАМ МОЖЕТ БЫТЬ КЕЙЛОГГЕР. Но, он может быть в оперативной памяти. Удаляется Live антивирусами. Никита |
| «файл C:\WINDOWS\system32\winlogon.exe заражен вирусом Trojan/W32.Agent.509440.X» — это сообщение мне выдает GameGuard к игрухе. Avast, DrWeb,Malwarebytes Anti-Malware вируса не видят. можно ли игнорировать сообщение игрухи и продолжать работу или нужно переустанавливать систему? |
| Скажите при блокировки windows logon application к сети у меня визуально сеть видна в центре управления сетями маршрут НО подключится я уже не магу браузеры не работают Chrom и internet Explorer а при раз блокировки всё приходит в норму что это может значить AkiraYamaoka |
| Про сканировал winlogon.exe вирусов не обнаружено.Зная не много в хакерстве, по моему это троян по стандарт. он находиться в C:\Windows\System32, вроде бы его можно хоть куда поставить. Bimon |
| Я проверил Касперским-ничего не нашел,лежит в System32 и загружает ЦП на 1-10% ну вроде норм Артём |
| запустил поиск на диске С, так у меня штук 20 всевозможных папок и файлов выдало содержащих Winlogon, в основном все лежат в папках «winsxs», и «sustem 32» и только один лежит в «SusWOW64», проц вроде не грузят, но как-то не уютно, посоветуйте что делать? Александр |
| Eset выдает ошибку открытия, virustotal не может загрузить, грузит проц на 00, при этом иконка файла в виде окна с полумесяцем в окне.Весит 382 кб. Это виру, или нет? Александр |
| это очень критический, системный файл. если что то пойдет с ним не так, виндоус будет входить в синий экран . Shumaher |
| Bomin, этот файл те в-коем случаи нельзя удалять и «постовлять» если ХОТЬ ЧТО С НИМ СДЕЛАЕШЬ = 1 переустонавливай систему 2 . Данил Загребалов |
| У меня ЦП грузился на 98-100% увидел это в диспетчере «Процессы». Прежде, чем удалить этот процесс («Завершить процесс»), нажал на этот процесс правой мышкой и нажал «Свойства». Определил место расположения файла C:\Users\имя_пользователя\AppData\Roaming\Sistem\1 И потом «Завершил процесс» и удалил папку 1. Потом прогнал комп двумя антивирусами. Alex7381 |
| если у вас винлогон грузит проц, файл находится где надо, проверьте, может открыт удалённый доступ к пк, тогда могут ломиться к вам. яя |
| Сканировал систему прогой Sophos Anti-Rootit.Обнаружила скрытый файл sfc.dll ( раньше при сканировании его не было). Удалил ( раз раньше не было :))). При запуске Винды стало появляться сообщение » Процес vinlogon.exe не может быть запущен». Дальнейшая загрузка происходит совершенно нормально, без проблем. Amor |
| подскажите че делать___у меня вибивает winlogon.exe___ок—отмена )))НАЖИМАЄШ ЛЮБОЕ ВИБИВАЕТ СИНИЙ ЕКРАН ДІМА |
| Программа необходима сестеме, но при попытке узнать что то о ней закрывает браузер Коля |
| После скачивания DrWeb был установлена байда и tencent. Потом хрень под названием — cinema plus 3.2c и появился в документах ключ реестра, и подпапка msdcsc с файлом — msdcsc.exe, появился в C/program files/winlogon/winlogon.exe, пошла рекламма, при перезагрузке вылазит окно — Welcome to DarkComet RAT, RAT по моему Remote Administrator Tools. И без инета виндус просто не работает! ( Забыл сказать, постоянно включена вебка ). Данил |
| Нашло несколько файлов winlogon.exe, большинство в «C:\Windows\winsxs\amd64_microsoft-windows-winlogon. «, тот что в диспечере задач отсылает «C:\Windows\System32» и имеет размер 455 168 КБ, процессор вроде не грузит 0%. Сергей |
| Безопасный файл, программа входа в систему User |
| Хотел перейти на 64 разрядную версию, получил вирус рекламный. И всё, что там говорят. Все csrss и winlogon загружают цп на 0. Так как вирус удалил быстро, но думаю что остались какие то мелкие черви, они особо мой пк никак сильно не могут вредить. Так что спрашиваю, если они загружают 0 цп, это хорошый процесс? Дима |
| у меня даже amd64 16048 таких файлов что делать ? «C:\Windows\winsxs\amd64_. (дополнительная информация) Андрей |
| В windows XP SP3 лежит в C:\WINDOWS\system32 497 КБ (509 440 байт) Саша |
| Важный для системы файл, иногда бывает что таких файлов 2, если у вас так то быстрее устанавливайте антивирус а именно Kaspersky, И проверяйте систему, если ничего не нашёл идите в интернет. Также бывает что один из файлом занимает 50%-100% ЦПУ или оперативки, если у вас так то удаляйте любым способ тот файл который столько жрёт . ВАЖНО НЕКОГДА НЕ УДАЛЯЙТЕ НАСТОЯЩИЙ КОМПЬЮТЕР МОЖЕТ СЛОМАТСЯ И НЕ ПОМОЖЕТ НЕЧТО КРОМЕ ПОКУПКИ НОВОГО . Иван |
| Winlogon очень нужен чтоб работали программы. Если снять задачу этой программы то тогда как с csrss.exe будет BSOD. А когда я сканировал свой комп там был найден троян под названием «ROOTkit.exe» но он был перемещён в систем32 и я вообще не понимаю как! Ну тогда winlogon может и принадобится, иначе BSOD! Мурчёночек |
Итого: Средняя оценка пользователей сайта о файле winlogon.exe: — на основе 59 голосов с 65 отзывами.
206 пользователей спрашивали про этот файл. 17 пользователей не поставили рейтинг («я не знаю»). 29 пользователей оценили, как неопасный. 7 пользователей оценили, как кажется неопасным. 4 пользователей оценили, как нейтрально. 11 пользователей оценили, как кажется опасным. 8 пользователей оценили, как опасный.
Лучшие практики для исправления проблем с winlogon
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с winlogon. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса winlogon.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
winlogon сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.