Почему на моем компьютере запускается процесс winlogon.exe
Процесс Winlogon.exe является очень важной частью операционной системы Windows, и Windows будет непригодна для использования без него.
Этот процесс выполняет множество критических задач, связанных с процессом входа в Windows. Например, при входе winlogon.ехе отвечает за загрузку профиля пользователя в реестре. Это позволяет программам использовать ключи в разделе HKEY_CURRENT_USER, которые различны для каждой учетной записи пользователя Windows.

Процесс Winlogon.exe имеет специальные «крючки» в системе, и постоянно наблюдает, нажимаете ли Вы Ctrl + Alt + Del . Это называется «безопасная последовательность внимания», и поэтому некоторые компьютеры могут быть настроены так, чтобы требовать от вас нажатия Ctrl + Alt + Del , прежде чем войти. Это сочетание клавиш всегда улавливается winlogon.exe, который гарантирует, что вы входите на защищенном рабочем столе, где другие программы не могут контролировать пароль, который вы вводите.
Windows Logon Application также отслеживает клавиатуру и мышь и отвечает за блокировку компьютера и запуск хранителя экрана после определенного периода бездействия.
Таким образом, Winlogon является важной частью процесса входа в систему и должен оставаться запущенным в фоновом режиме.
Можно отключить Windows Logon Application
Вы не можете отключить этот процесс. Это важная часть Windows, и он должен быть запущена в любое время. В любом случае, нет причин отключать его, так как он использует крошечное количество ресурсов в фоновом режиме для выполнения критических системных функций.
Если вы попытаетесь завершить процесс из диспетчера задач, вы увидите сообщение о том, что завершение процесса «приведёт к тому, что Windows станет непригодной для использования или завершит работу».
Если вы обойдете это сообщение, ваш экран станет черным, и ваш компьютер даже не ответит на Ctrl + Alt + Del . Чтобы продолжить, необходимо перезагрузить компьютер.
Windows всегда будет запускать этот процесс при запуске компьютера. Если Windows не удается запустить winlogon.ехе или другой важный системный процесс, ваш компьютер покажет синий экран с кодом ошибки 0xC000021A.
Windows Logon может быть вирусом
Это нормально, что winlogon.exe всегда запущен в вашей системе. Настоящий winlogon.exe находится в каталоге C:\Windows\System32 вашей системы. Чтобы проверить это, щелкните правой кнопкой мыши по процессу в Диспетчере задач и выберите пункт Открыть расположение файла.
Если вы видите, что winlogon.exe файл находится в любой другой директории, у вас есть проблема. Вирус или другой тип вредоносного ПО может замаскировать себя как этот процесс в попытке скрыться в фоновом режиме. Активное использование ресурсов процессора или памяти является ещё одним признаком заражения этого процесса.
Инициализация Winlogon
При инициализации Winlogon регистрирует в системе последовательность безопасного внимания (SAS) CTRL+ALT+DEL, а затем создает три рабочих стола в оконной станции WinSta0.
Регистрация CTRL+ALT+DEL делает эту инициализацию первым процессом, гарантируя, что ни один другой приложение не подключил эту последовательность ключей.
WinSta0 — это имя объекта оконной станции, представляющего физический экран, клавиатуру и мышь. Winlogon создает следующие рабочие столы в объекте WinSta0.
| Персональный компьютер | Описание |
|---|---|
| Рабочий стол Winlogon | Это рабочий стол, который Winlogon и GINA используют для интерактивной идентификации и проверки подлинности, а также для других безопасных диалоговых окон. Winlogon автоматически переключается на этот рабочий стол при получении уведомления о событии SAS. |
| Классическое приложение | Каждый раз, когда пользователь успешно входит в систему, для этого сеанса входа создается рабочий стол приложения. Рабочий стол приложения также называется рабочим столом по умолчанию или рабочим столом пользователя. На этом рабочем столе выполняется все действия пользователей. Рабочий стол приложения защищен; доступ к ней имеют только система и интерактивный сеанс входа. Обратите внимание, что доступ к рабочему столу имеет только определенный экземпляр вошедшего пользователя. Если интерактивный пользователь активирует процесс с помощью контроллера службы, это приложение-служба не будет иметь доступа к рабочему столу приложения. |
| Рабочий стол заставки | Это текущий рабочий стол при запуске заставки. Если пользователь вошел в систему, система и интерактивный сеанс входа имеют доступ к рабочему столу. В противном случае доступ к рабочему столу имеет только система. |
Как владелец этих рабочих столов Winlogon может переключить текущий или видимый рабочий стол на любой из трех рабочих столов и разрешить GINA доступ к этой функции. Как правило, разработчики GINA не изменяют текущий рабочий стол, так как Winlogon задает рабочий стол соответствующим образом перед взаимодействием с GINA. Описание каждой функции GINA указывает, какой рабочий стол является текущим для этого вызова.
| Сведения о | См. |
|---|---|
| Различные состояния, в которых может выполняться Winlogon | Состояния Winlogon |
| Время ожидания операций | Поддерживаемые операции времени ожидания службы диалогового окна |
| Отправка сообщений в GINA при отображении диалогового окна | Отправка сообщений в GINA |
| Функции поддержки | Функции поддержки Winlogon |
Процесс “Windows Logon Application” (winlogon.exe): что это и можно ли отключить?
Читайте за что отвечает процесс «winlogon.exe» и что будет если его отключить. Процесс «winlogon.exe» является важной частью операционной системы Windows. Этот процесс всегда работает в фоновом режиме в Windows, и он отвечает за некоторые важные системные функции. Например: «svchost.exe», «dwm.exe», «ctfmon.exe», «mDNSResponder.exe», «rundll32.exe», «Adobe_Updater.exe» и многие другие. Далее мы расскажем о нём поподробнее.
Перейти к просмотру

- Что же такое Windows Logon Application?
- Могу ли я отключить его?
- Может ли этот процесс стать вирусом?
- Вопросы и ответы
- Комментарии
Что же такое Windows Logon Application?

Процесс «winlogon.exe» является критически важной частью операционной системы Windows, и вы не сможете получить доступ к ОС без этого процесса.
Он выполняет множество важных задач, связанных с авторизацией в ОС Windows. Например, при входе в систему «winlogon.exe» отвечает за загрузку профиля пользователя в реестр. Это позволяет программам использовать ключи реестра «HKEY_CURRENT_USER», различные для каждой учетной записи пользователя.
«winlogon.exe» имеет специальный функционал в операционной системе, а также перехватывает нажатие комбинации клавиш «Ctrl + Alt + Delete». Это опция, «secure attention sequence» (SAS) – «последовательность внимания к безопасности», то есть особая комбинация клавиш, которую пользователь обязан набрать на клавиатуре перед входом в операционную систему. Нажатие этой комбинации всегда перехватывается процессом «winlogon.exe», что гарантирует вам безопасный и защищённый «Вход в систему», где другие программы не смогут проконтролировать введенные вами данные или выдать ложное диалоговое окно входа в ОС.
Приложение «Windows Logon» также отслеживает активность клавиатуры и мыши, и отвечает за блокировку вашего ПК и запуск хранителей экрана после периода бездействия.
Таким образом, «winlogon.exe» должен постоянно продолжать работу в фоновом режиме, являясь очень важной частью процесса авторизации в системе. На сайте компании «Microsoft» вы сможете найти более подробный технический список возможностей процесса «Winlogon», с расширенным описанием оных.
Могу ли я отключить его?

Вы не cможете продолжить работу в операционной системе Windows, отключив этот процесс. Это важная часть Windows, и он должен работать постоянно. К тому же, у вас не найдётся причин отключать его, поскольку он использует крайне маленькое количество ресурсов ПК в фоновом режиме, но при этом выполняет критически важные функции для системы.
Если вы попытаетесь завершить процесс из «Диспетчера задач», то увидите сообщение о том, что завершение процесса «может привести к нестабильной работе системы». Если вы всё же нажали «Завершить процесс», то ваш экран станет черным, и ваш ПК даже не ответит на «Ctrl + Alt + Delete». Именно процесс «winlogon.exe» отвечает за обработку это комбинации клавиш, поэтому восстановление вашего сеанса работы с ОС будет невозможно. Если система не сможет перезапустить его сразу же, то перезагрузите компьютер.
ОС Windows всегда запускает этот процесс при включении ПК. Если это действие не удалось, то компьютер выдаст синий экран с кодом ошибки «0xC000021A», обычно именуемый как «Blue screen of Death» (BSoD) – «синий экран смерти».
Перейти к просмотру

Может ли этот процесс стать вирусом?
Обычно процесс «winlogon.exe» постоянно запущен в вашей операционной системе. Исполняемый файл «winlogon.exe» находится в каталоге «C:\Windows\System32» на системном диске с установленной ОС. Чтобы проверить его подлинность, щелкните на него правой кнопкой мыши в диспетчере задач и выберите «Открыть расположение файла».

Проводник должен открыть каталог «C:\Windows\System32» (проверьте этот адрес в строке адреса), и выделить файл «winlogon.exe».
Если кто-то вам сказал или вы где-то прочитали, что файл winlogon.exe, расположенный в данном каталоге, является вирусом, это не правда. Этот файл должен быть запущен на каждом компьютере под ОС Windows и находится именно здесь. Если вы удалите его, то скорее всего вам придётся заново переустанавливать и настраивать систему.
Какие-то техники из технической поддержки указали вам на «winlogon.exe» или любые другие важные системные файлы и запущенные процессы, и сказали: «Если вы видите эти процессы на вашем ПК, то у вас есть вредоносное ПО», проверьте систему антивирусом, но эти процессы и должны быть запущены, и это нормально. Не поддавайтесь на провокации мошенников!
С другой стороны, если вы найдёте файл «winlogon.exe», который расположен в любом другом каталоге на вашем ПК, то скорее всего у вас проблема. Вирусы или другой тип вредоносного ПО могут маскироваться под критически важные системные процессы, поскольку они пытаются скрыться от ваших глаз и продолжать работать в фоновом режиме. Высокий уровень использования ресурсов компьютера (процессора или памяти) для процесса «winlogon.exe» также является косвенным признаком того, что с ним что-то не так. Этот процесс не должен использовать много ресурсов «CPU» или оперативной памяти в обычных ситуациях.
В таких случаях запустите полное сканирование системы с помощью вашего антивирусного программного обеспечения. Оно должно удалить обнаруженные вредоносные программы или разного рода нелегальные надстройки в системе.

Автор: Vladimir Mareev, Технический писатель
Владимир Мареев — автор и переводчик технических текстов в компании Hetman Software. Имеет тринадцатилетний опыт в области разработки программного обеспечения для восстановления данных, который помогает ему создавать понятные статьи для блога компании. Спектр публикаций довольно широк и не ограничивается только лишь темой программирования. Статьи включают также разнообразные обзоры новинок рынка компьютерных устройств, популярных операционных систем, руководства по использованию распространенных и специфических программ, примеры решений возникающих системных или аппаратных проблем и многие другие виды публикаций.

Редактор: Michael Miroshnichenko, Технический писатель
Мирошниченко Михаил – одни из ведущих программистов в Hetman Software. Опираясь на пятнадцатилетний опыт разработки программного обеспечения он делится своими знаниями с читателями нашего блога. По мимо программирования Михаил является экспертом в области восстановления данных, файловых систем, устройств хранения данных, RAID массивов.
- Обновлено:
- 7.11.2023 11:59
Где находится winlogon картинка входа
В данной теме будем рассматривать все вопросы, связанные с Экраном входа в систему (он же, Экран авторизации пользователя, он же Экран приветствия, он же Logon Screen).
Например, такие как изменение фонового изображения при входе в систему, ручное редактирование логона (замена/удаление/перемещение элементов экрана приветствия) и т.д.
Для редактирования экрана приветствия имеется программа Logon Workshop. Обсуждение работы с программой ведётся в этой ветке.
На мой взгляд, программа ещё очень сырая и советую её использовать очень осторожно.
Для этого нужно с помощью в Restorator’а или ResHacker’а в файле C:\Windows\System32\ru-RU\winlogon.exe.mui изменить значения 1002 и 1005 в строковой таблице на нужные вам.
Для 64-битных систем нужно также изменить файл C:\Windows\SysWOW64\ru-RU\winlogon.exe.mui.
Скриншот ResHacker

Скриншот Restorator

Изображение находятся в файле C:\Windows\System32\imageres.dll в секции IMAGE.

Есть два варианта:
Способ 1. Заменить изображения в файле C:\Windows\System32\imageres.dll на свои. Но существуют подводные камни.
Если среди предложенных разрешений экрана нет разрешения вашего монитора, то при добавлении изображения с круглыми элементами эти элементы будут сплющены или растянуты.
Что не добавит красоты в экран приветствия. Да и редактирование системных файлов неумелыми руками до добра может не довести.
Способ 2.
Воспользоваться сторонним софтом. Для замены изображения на просторах интернета можно найти множество утилит. Всяческие LogonBackgroundChanger’ы и иже с ними.
Но хотелось бы посоветовать проверенную временем программу Windows 7 Universal Patcher.
Для замены изображения нужно подготовить свою картинку (В форматах .BMP, .JPG, .JPEG, .PNG, .TIF, .TIFF и с нужным вам разрешением). Положить его на диск С.
Скачать утилиту Windows 7 Universal Patcher.
Взять из архива файл W7Patcher.exe нужной разрядности (W7Patcher_x86.exe для 32-битных систем, W7Patcher_x64.exe для 64-битных систем).
Распаковать его рядом подготовленным вами изображением.
Через меню «Пуск» запустить пункт «Выполнить». Нажать кнопку «Обзор», перейти на диск С и выбрать файл W7Patcher.exe, нажать кнопку «ОК».
Получится так:
С:\W7Patcher_x86.exe -WS YourNewLogonImage.ext
С:\W7Patcher_x64.exe -WS YourNewLogonImage.ext
Где YourNewLogonImage — название вашего файла, ext — расширение (.BMP, .JPG, .JPEG, .PNG, .TIF или .TIFF)
Для того чтобы вернуть стандартное изображение запустите утилиту так:
С:\W7Patcher_x86.exe -WR
С:\W7Patcher_x64.exe -WR
Способ 1.
Эта надпись является изображением, а изображение находится в файле C:\Windows\Branding\Basebrd\ru-RU\basebrd.dll.mui под номерами 120, 1120 и 2120.
Сделайте их полностью прозрачными и замените их в файле basebrd.dll.mui.
Способ 2.
Модификация файла C:\Windows\System32\authui.dll (Для 64-битных систем также и C:\Windows\SysWOW64\authui.dll).
Откройте с помощью программы Restorator файл authui.dll и в элементах 12400, 12401 и 12402 секции UIFILE замените строку:
Для этого нужно в файле C:\Windows\System32\authui.dll (Для 64-битных систем также и C:\Windows\SysWOW64\authui.dll),
в элементах 12400, 12401 и 12402 секции UIFILE замените строки:
Для этого нужно в файле C:\Windows\System32\authui.dll (Для 64-битных систем также и C:\Windows\SysWOW64\authui.dll),
в элементах 12400, 12401 и 12402 секции UIFILE замените строки:
Если вы решили редактировать Экран приветствия вручную, советую под рукой всегда иметь оригинальные файлы и диск LiveCD.
А так же иметь представление о работе «Контроля учётных записей (UAC)» и получении/возврате прав на файлы в системе.
Получение и возврат прав на файлы
Для успешного редактирования системных файлов надо сначала получить на них права доступа.
Раньше использовали твик реестра Стать владельцем, который позволял легко права получить, но восстановить права таким же образом было невозможно.
Сейчас на форуме появилась утилита TakeOwnershipEx от hb860, которая позволяет и получить и восстановить права на отредактированный файл.
Все вопросы по работе утилиты задавать в теме утилиты!