Toderelt.ru

ПК Журнал ТодерельТ
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

За что отвечает процесс WININIT.EXE

Процесс WININIT.EXE

wininit.exe - что это за процесс

Далее рассмотрим цели и задачи данного процесса в системе, а также некоторые особенности его функционирования.

Описание

Визуально он отображается во вкладке «Процессы» Диспетчера задач. Принадлежит к системным процессам. Поэтому, чтобы его найти, надо поставить галочку в «Отображать процессы всех пользователей».

Сведения о процессе wininit

Можно посмотреть сведения об объекте, нажав на «Свойства» в меню.

переход свойствам wininit

Окно с описанием процесса.

свойства wininit

Основные функции

Перечислим задачи, которые последовательно выполняет процесс WININIT.EXE при старте операционной системы:

  • В первую очередь, он присваивает самому себе статус критического процесса, чтобы избежать аварийного завершения системы при ее выходе на отладку;
  • Приводит в действие процесс SERVICES.EXE, который отвечает за управление службами;
  • Запускает поток LSASS.EXE, который расшифровывается как «Сервер проверки подлинности локальной системы безопасности». Он ответственен за авторизацию локальных пользователей системы;
  • Включает службу диспетчера локальных сеансов, который отображается в Диспетчере задач под названием LSM.EXE.

Под деятельность данного процесса также попадает создание папки TEMP в системной папке. Важным свидетельством критичности этого WININIT.EXE является уведомление, которое выводится при попытке завершить процесс при помощи Диспетчера задач. Как можно увидеть, без WININIT система не может корректно функционировать.

завершение процесса wininit

Тем не менее, этот прием можно отнести к еще одному способу завершить работу системы в случае ее зависания или возникновения других аварийных ситуаций.

Расположение файла

WININIT.EXE располагается в папке System32, которая, в свою очередь, находится в системной директории Windows. В этом можно убедиться, нажав «Открыть место хранения файла» в контекстном меню процесса.

открыть местоположение wininit

Местоположение файла процесса.

расположение wininit

Полный путь к файлу выглядит следующим образом:
C:WindowsSystem32

Идентификация файла

Известно, что под данным процессом может маскироваться вирус W32/Rbot-AOM. При заражении он подключается к серверу IRC, откуда ждет команд.

Как правило, вирусный файл проявляет высокую активность. В то время как, настоящий процесс находится чаще всего в режиме ожидания. Это является признаком установления его подлинности.

идентификация wininit

Другим признаком для идентификации процесса может послужить расположение файла. Если при проверке окажется, что объект ссылается на иное расположение, чем вышеуказанное, то это скорее всего вирусный агент.

Можно также вычислить процесс по принадлежности к категории «Пользователи». Настоящий процесс всегда запускается от имени «Системы».

категория wininit

Устранение угрозы

При возникновении подозрения на заражение необходимо скачать Dr.Web CureIt. Затем нужно запустить сканирование всей системы.

Далее запускаем проверку, щелкнув «Начать проверку».

запуск сканирования dr web

Так выглядит окно сканирования.

проверка dr web

При детальном рассмотрении WININIT.EXE мы выяснили, что он является критически важным процессом, который отвечает стабильную работу при старте системы. Иногда может случится так, что процесс подменяется вирусным файлом, и в таком случае нужно оперативно устранять потенциальную угрозу.

ЗакрытьМы рады, что смогли помочь Вам в решении проблемы.

Помимо этой статьи, на сайте еще 12351 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

ЗакрытьОпишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.

Описание: WinRos.exe не является необходимым для Windows. Файл WinRos.exe находится в подпапках диска C: или иногда в подпапках "C:Program Files". Размер файла для Windows 10/8/7/XP составляет 242,688 байт.
Нет описания файла. Приложение не видно пользователям. Процесс использует порт, чтобы присоединится к сети или интернету. Это не системный файл Windows. WinRos.exe способен записывать ввод данных. Поэтому технический рейтинг надежности 57% опасности.
Разработчик Sngb поддерживает сайт с Обновлением и деинсталлятором (Панель управления ⇒ Установка и удаление программ ⇒ Quik SNGB 6.16.2.20 или Информационно-торговая).

Важно: Некоторые вредоносные программы маскируют себя как WinRos.exe, особенно, если они расположены в каталоге c:windows или c:windowssystem32. Таким образом, вы должны проверить файл WinRos.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Архитектура Windows

Windows представляет собой операционную систему с гибридным ядром (см. лекцию 1 «Введение в операционные системы»). В ней основные системные функции по управлению процессами, памятью, устройствами, файловой системой и безопасностью реализованы в компонентах, работающих в режиме ядра; но существует ряд важных системных компонентов пользовательского режима, например системные процессы входа в систему, локальной аутентификации, диспетчера сеансов, а также подсистемы окружения.

Архитектура Windows представлена на рис.4.1 [5; 2].

Архитектура Windows

Компоненты пользовательского режима

В пользовательском режиме работают следующие виды процессов:

  • системные процессы (system processes) – компоненты Windows, отвечающие за решение критически важных системных задач (т. е. аварийное завершение одного из этих процессов вызывает крах или нестабильную работу всей системы), но выполняемые в пользовательском режиме. Основные системные процессы:
    • Winlogon.exe – процесс входа в систему и выхода из неё;
    • Smss.exe (Session Manager – диспетчер сеансов) – процесс выполняет важные операции при инициализации системы (загрузка необходимых DLL, запуск процессов Winlogon и Csrss и др.), а затем контролирует работу Winlogon и Csrss;
    • Lsass.exe (Local Security Authentication Subsystem Server – сервер подсистемы локальной аутентификации) – процесс проверяет правильность введенных имени пользователя и пароля;
    • Wininit.exe – процесс инициализации системы (например, запускает процессы Lsass и Services);
    • Userinit.exe – процесс инициализации пользовательской среды (например, запускает системную оболочку – по умолчанию, Explorer.exe);
    • Services.exe (SCM, Service Control Manager – диспетчер управления службами) – процесс, отвечающий за выполнение служб – см. ниже;
    • собственно Windows – при помощи данной подсистемы выполняются 32 разрядные приложения Windows (Win32), а также 16 разрядные приложения Windows (Win16), приложения MS DOS и консольные приложения (Console). За подсистему Windows отвечает системный процесс Csrss.exe и драйвер режима ядра Win32k.sys;
    • POSIX (Portable Operating System Interface for UNIX – переносимый интерфейс операционных систем UNIX) – подсистема для UNIX-приложений. Начиная с Windows Server 2003 R2 компонент, реализующий эту подсистему, называется SUA (Subsystem for UNIX-based Applications). Компонент не устанавливается в Windows по умолчанию.

    Все перечисленные процессы пользовательского режима (кроме подсистемы POSIX 1 Подсистема POSIX использует библиотеку Psxdll.dll. ) для взаимодействия с модулями режима ядра используют библиотеки Windows DLL ( Dynamic Link Library – динамически подключаемая библиотека). Каждая DLL экспортирует набор Windows API функций, которые может вызывать процесс.

    Windows API ( Windows Application Programming Interface , WinAPI) – это способ взаимодействия процессов пользовательского режима с модулями режима ядра. WinAPI включает тысячи функций и хорошо документирован [10].

    Основные Windows DLL следующие:

    • Kernel32.dll – базовые функции, в том числе работа с процессами и потоками, управление памятью и вводом выводом;
    • Advapi32.dll – функции, в основном связанные с управлением безопасностью и доступом к реестру;
    • User32.dll – функции, отвечающие за управление окнами и их элементами в GUI приложениях (Graphical User Interface – графический интерфейс пользователя);
    • Gdi32.dll – функции графического пользовательского интерфейса (Graphics Device Interface, GDI), обеспечивающие рисование на дисплее и принтере графических примитивов и вывод текста.

    Библиотека Ntdll. dll экспортирует в большинстве своем недокументированные системные функции, реализованные, в основном, в Ntoskrnl.exe. Набор таких функций называется Native API («родной» API ).

    Библиотеки Windows DLL преобразуют вызовы документированных WinAPI функций в вызовы функций Native API и переключают процессор на режим ядра.

    Компоненты режима ядра

    Диспетчер системных сервисов ( System Service Dispatcher ) работает в режиме ядра, перехватывает вызовы функций от Ntdll. dll , проверяет их параметры и вызывает соответствующие функции из Ntoskrnl.exe.

    Исполнительная система и ядро содержатся в Ntoskrnl.exe (NT Operating System Kernel – ядро операционной системы NT) (по поводу использования термина » ядро » в Windows см. лекцию 1 «Введение в операционные системы»).

    Исполнительная система ( Executive ) представляет собой совокупность компонентов (называемых диспетчерами – manager ), которые реализуют основные задачи операционной системы:

    • диспетчер процессов (process manager) – управление процессами и потоками (см. лекцию 6 «Процессы и потоки»);
    • диспетчер памяти (memory manager) – управление виртуальной памятью и отображение её на физическую (см. лекцию 8 «Управление памятью»);
    • монитор контроля безопасности (security reference monitor) – управление безопасностью (см. лекцию 9 «Безопасность»);
    • диспетчер ввода вывода (I/O manager), диспетчер кэша (cache Manager), диспетчер Plug and Play (PnP Manager) – управление внешними устройствами и файловыми системами (см. лекцию 10 «Управление устройствами» и лекцию 11 «Файловая система NTFS»);
    • диспетчер электропитания (power manager) – управление электропитанием и энергопотреблением;
    • диспетчер объектов (object manager), диспетчер конфигурации (configuration manager), механизм вызова локальных процедур (local procedure call) – управление служебными процедурами и структурами данных, которые необходимы остальным компонентам.

    Ядро ( Kernel ) содержит функции, обеспечивающие поддержку компонентам исполнительной системы и осуществляющие планирование потоков (см. лекцию 7 «Планирование потоков»), механизмы синхронизации, обработку прерываний.

    Компонент Windows USER и GDI отвечает за пользовательский графический интерфейс (окна, элементы управления в окнах – меню , кнопки и т. п., рисование), является частью подсистемы Windows и реализован в драйвере Win32k.sys.

    Взаимодействие диспетчера ввода вывода с устройствами обеспечивают драйверы (drivers) – программные модули, работающие в режиме ядра, обладающие максимально полной информацией о конкретном устройстве (драйверы подробнее рассматриваются в лекции 10 «Управление устройствами»).

    Однако, и драйверы, и ядро не взаимодействуют с физическими устройствами напрямую – посредником между программными компонентами режима ядра и аппаратурой является HAL ( Hardware Abstraction Layer ) – уровень абстрагирования от оборудования, реализованный в Hal . dll . HAL позволяет скрыть от всех программных компонентов особенности аппаратной платформы (например, различия между материнскими платами), на которой установлена операционная система .

    Резюме

    В лекции представлена архитектура операционной системы Windows и описаны основные компоненты пользовательского режима и режима ядра.

    MY.SYS

    Для сокрытия факта заражения используется довольно простенький руткит-драйвер my.sys. Он перехватывает функции IRP_MJ_READ, IRP_MJ_WRITE и IRP_MJ_DEVICE_CONTROL у драйвера, обслуживающего устройство DeviceHarddisk0DR0. Не самый низкий уровень по сравнению с тем же TDL4. О том, когда и как стартует данный драйвер, будет понятно чуть позже.

    Рисунок 5. Перехваченные функции драйвера disk.sys

    Останавливаться подробно на перехватах не имеет смысла, так как они довольно тривиальны. В случае чтения подменяется CompletionRoutine, и при попытке чтения охраняемых секторов возвращается пустой буфер.

    Рисунок 6. Первый сектор физического диска

    Перехват IRP_MJ_WRITE не позволяет записывать данные в охраняемые секторы.

    Перехват IRP_MJ_DEVICE_CONTROL контролирует вызовы IOCTL_DISK_GET_DRIVE_LAYOUT_EX, IOCTL_STORAGE_GET_MEDIA_TYPES_EX, IOCTL_DISK_GET_DRIVE_GEOMETRY_EX и возвращает ошибку.

    Процессы в Windows 10 и их описание

    Окно процессы (Processes)

    Как уже было сказано, при необходимости можно развернуть подробное окно диспетчера задач и открыть окно процессов. В этом окошке будут отображаться запущенные на данном ПК процессы и их характеристики. Изначально они сортируются по именам. Вы можете нажать на верхушку любого столбца и отсортировать их по параметру, на который нажали. К примеру, можно выстроить процессы по занимаемому объему оперативной памяти.

    Взгляните на колонку «Тип» (Type), там можно встретить несколько разных типов процессов:

    • Приложение (App) – любые программы, работающие в оконном режиме;
    • Фоновые процессы (Background Process) – вы их не видите, они работают в фоновом режиме;
    • Процессы Windows (Windows Process) – эти процессы запустила сама операционная система и они необходимы для нормального функционирования Windows.

    Есть еще одна интересная колонка – Издатель (Publisher). С помощью нее можно узнать о происхождении запущенного процесса, если он кажется подозрительным. Так можно найти вирусы, прикрывающиеся другими процессами, или бесполезный софт, который непонятно как установился в систему и только потребляет ресурсы. Необходимо просто посмотреть местоположение исполняемого файла и удалить его.

    Если что-то сильно грузит вашу систему, и вы хотите найти виновника, сделайте клик по колонке «ЦП» (CPU). Все процессы будут построены в порядке нагрузки на центральный процессор. Например, в нашем случае (см. картинку ниже), самым ресурсоемким процессом оказался «Microsoft Edge», это связанно с тем, что в нем было открыто очень много вкладок. Любой процесс можно легко завершить. Для этого сделайте по нему клик правой кнопкой мышки и нажмите на «Завершить задачу» (End Task).

    Внимание! Перед закрытием процесса точно убедитесь в том, что прекращение его работы не повлечет за собой серьезных нарушений в работе системы. Не завершайте важные для системы приложения типа Windows Process.

    За что отвечает WININIT.EXE

    Процесс отвечает за основные функции операционной системы, поэтому в обязательном порядке запускается вместе с ней. При запуске выполняет следующие действия в порядке очереди:

    1. Сразу при запуске процесс присваивает себе критический статус, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию.
    2. Параллельно с собой запускает процесс SERVICES.EXE, отвечающий за управление другими службами Windows.
    3. Запускает «Сервер проверки подлинности локальной системы безопасности» или более известный как процесс LSASS.EXE, отвечающих за корректную авторизацию пользователей в Windows.
    4. Включает службу LSM.EXE, отвечающую за поддержку локальных сеансов пользования ОС.

    Дополнительно на протяжении всего сеанса работы операционной системы отвечает за создание и наполнение папки TEMP. В ней содержится информация, которая нужна для корректного продолжения работы текущего сеанса.

    При попытках принудительно завершить работу процесса WININIT.EXE пользователь получает уведомление, что отключая данный процесс будет завершена работы Windows. При этом нужно поставить галочку у пункта, где юзер соглашается с оставлением данных без сохранения и завершения работы.

    Иногда данный прием используется для принудительного завершения работы системы в случае ее зависания, правда, очень редко.

    Где найти процесс WININIT.EXE

    Увидеть данный процесс, как и все остальные можно через интерфейс «Диспетчера задач Windows». Вызывается данный интерфейс сочетанием клавиш Ctrl+Shift+Esc. Могут использоваться другие способы вызова в зависимости от ОС, но данное сочетание является универсальным решением.

    Увидеть информацию по запущенным процессам Windows можно во вкладке «Процессы» или в разделе «Процессы Windows». Также информацию можно получить во вкладке «Подробности», правда, это актуально для Windows 10.

    Чтобы получить чуть больше информации о процессе WININIT.EXE, найдите его среди перечня запущенных и кликните по наименованию правой кнопкой мыши. Из контекстного меню выберите пункт «Свойства». Откроется окошко с кратким описанием процесса: тип файла, расположение, размер, дата создания и т.д.

    Переход к расположению файла процесса

    Файл процесса WININIT.EXE расположен в папке System32 в главной системной директории Windows. Вы можете открыть расположение файла процесса прямо из интерфейса «Диспетчера задач Windows». Найдите интересующий вас процесс в списке запущенных и кликните по нему правой кнопкой мыши. Из контекстного меню выберите вариант «Открыть место хранения файла».

    Должен открыться «Проводник» с указанием следующего пути в адресной строке: C:WindowsSystem32.

    Примечание. Для доступа к данной папке вы должны обладать правами администратора.

    Проведение идентификации файла

    Вам нужно уметь выполнять правильную идентификацию файла, чтобы избежать нежелательного проникновения вируса в систему, который может маскировать под системный процесс. Ставка делается на то, что пользователь побоится завершать, а тем более удалять файл ложного процесса, так как при неправильной идентификации есть риск нарушить работоспособность ОС.

    Определить вирусный файл можно по высокой активности, которую видно в графе «ЦП». Обычно настоящий процесс WININIT.EXE проявляет высокую активность только во время входа в систему. Остальное время он находится режиме ожидания и значения в колонке «ЦП» не превышают значения 10.

    Эффективнее всего провести проверку подлинности файла, просмотрев его расположение в системе. Как это сделать было написано выше. Если входе проверки открылась какая-то другая директория, значит это вирус.

    У подлинного процесса WININIT.EXE всегда должна открываться директория по адресу: C:WindowsSystem32 и ни по какому другому.
    Проверить подлинность можно по значению в графе «Пользователь» или «Имя пользователя». Там, у процесса WININIT.EXE всегда должно стоять значение «система» и ни какое другое.

    Удаление вируса

    Если в ходе проверки выяснилось, что есть поддельный процесс WININIT.EXE, то удалите всего его файлы, а сами поддельные процессы завершите. Будьте осторожны и не завершите/удалите подлинный процесс.

    После этого нужного выполнить сканирование компьютера на наличие остаточных вирусов. Рекомендуется делать это с помощью коммерческих антивирусных программ, так как они наиболее эффективны. В Windows 10 можно воспользоваться встроенным Защитником, так как он по эффективности не уступает другим коммерческим аналогам.

    Почему он работает в фоновом режиме

    Вы можете легко ожидать, что wininit.exe будет запущен в фоновом режиме, и вы можете проверить это в диспетчере задач. У него нет внешнего интерфейса, и единственный способ проверить его наличие — это диспетчер задач. Причина такого поведения wininit.exe заключается в том, что он работает как средство запуска для нескольких фоновых процессов. Из следующего изображения Process Explorer очень ясно, что wininit.exe работает как основной процесс-инициатор для нескольких других фоновых процессов. Фактически, он находится в самой верхней позиции всего дерева процессов Windows.

    Почему моя система перезагружается с помощью wininit.exe?

    Это известная проблема, с которой сталкиваются многие пользователи. Если ваша система перезагружается или выключается bny wininit.exe, вы должны следовать приведенному ниже методу, чтобы исправить это.

    Решение

    Эта проблема возникает, когда ваша система не может обработать параметр MaxTempTableSize. Для этого вам нужно будет увеличить значение MaxTempTableSize, чтобы система не перезагружалась или не завершалась.

    Здесь MaxTempTableSize — это в основном значение, которое упоминается в Microsoft Active Directory, в котором указывается, как можно обрабатывать большую временную таблицу базы данных за один раз.

    голоса
    Рейтинг статьи
    Читать еще:  Как удалить ненужные драйвера в Windows (Виндовс) 7
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector