winlogon.exe

winlogon.exe  est un processus système de Windows localisé dans C:\Windows\system32\winlogon.exe
winlogon.exe est présent sur toutes les version de Windows :  Windows XP, Windows Vista, Windows 7, Windows 8.1 et Windows 10.

winlogon.exe n’est donc en aucun lié avec des logiciels malveillants : virus, cheval de troie (trojan), adwares et autres.
Il s’agit d’un processus légitime.

winlogon.exe

winlogon.exe est donc un fichier légitime de Windows qui gère les ouvertures de sessions.
winlogon est en charge de l’ouverture de session utilisateurs Windows :

  • il charge le profil d’un utilisateur après son authentification (userinit.exe) ;
  • il gère l’écran de veille ; sur le retour au mode normal, on peut paramétrer WinLogon pour obliger l’utilisateur à s’authentifier une nouvelle fois.

Winlogon charge des clés du registre Windows présentes  :

HKEY_Current_User\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

et notamment, la clé Shell qui définit le bureau Windows, par défaut, il s’agit d’explorer.exe, et la clé userinit qui charge le processus userinit.exe en charge de la gestion profil de l’utilisateur Windows.
Par défaut, le contenu de userinit : C:\Windows\system32\userinit.exe,
La virgule à la fin est importante.

winlogon et les virus

Winlogon.exe n’est donc pas lié à des virus, cependant, les clés Winlogon peuvent servir d’autorun, c’est à dire pour charger des logiciels malveillants sur l’ordinateur.
Ainsi, la clé Shell a été visée par les ransomwares Winlock, le but est de remplacer le bureau Windows par le Trojan qui va alors afficher une page.
Sans bureau Windows, l’utilisateur se retrouve bloqué, d’autant que le Trojan peut bloquer la combinaison de touche CTRL+ALT+Suppr

La seconde clé userinit est aussi modifiée par des trojans, ce qui permet de charger le cheval de troie assez tôt lors de l’ouverture du bureau Windows.
En outre, cette clé est aussi lue en mode sans échec, ce qui permet de rendre le trojan actif en mode sans échec.

Un mauvais nettoyage de clé de la base de registre Windows peut entraîner des écrans noirs à l’ouverture du bureau de Windows.

Liens autour des processus Windows

Toutes les explications sur le fonctionnement des processus Windows et services Windows : les processus et services Windows.

Et enfin une liste des processus système de Windows : Processus système Windows.

(Visité 150 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet