O que é o winlogon.exe -SpecialSession?

Navegue suas respostas
4

Estou executando o Windows 8 Enterprise. Algumas vezes, observei vários processos em winlogon.exe em execução (acompanhados por mais csrss.exe e dwm.exe ). Hoje eu vi um extra, mas a primeira vez que notei, havia cinco ou seis extras.

O Process Explorer mostra que todos são realmente C:\Windows\System32\winlogon.exe , mas os extras foram iniciados com o sinalizador -SpecialSession e que seu processo pai não existe mais.

As varreduras de malware com o Malwarebytes e o Spybot S & D não mostraram nada, e o Windows Defender permaneceu em silêncio.

Qual é a opção -SpecialSession e de onde podem vir essas instâncias extras? O Google parece não saber nada sobre isso.

    
por user1454265 15.01.2013 / 19:39

3 respostas

3

Também vejo esse comportamento desde que fiz o upgrade para o Windows 8. Fiz uma atualização in-loco no Windows 7, FWIW. Eu não tenho pontos suficientes para comentar, então estou escrevendo isso como uma resposta.

Há um padrão claro de que cada conjunto de winlogon.exe órfãos e seus processos filho provavelmente são um artefato do novo recurso "Fast boot / hybrid sleep" do Windows 8. Por padrão, o Windows 8 não é desligado completamente. Quando você seleciona "Desligar" na barra de botões, o que realmente acontece é que você é desconectado, mas em vez de desligar, o Windows hiberna. Dessa forma, quando você ligá-lo novamente, ele retorna da hibernação no seu prompt de login, em vez de uma inicialização completa.

Atualmente, meu conjunto mais antigo de processos tem 12 dias, mas encerro meu computador todos os dias. Eu tenho cerca de 12 desses grupos de processos.

Ainda não observei efeitos colaterais adversos, mas tentarei desativar a "inicialização rápida". Não estou convencido de que seja mais rápido de qualquer maneira.

Painel de controle \ Todos os itens do painel de controle \ Opções de energia \ Configurações do sistema

    
por 16.01.2013 / 09:19
1

Ok, eu perguntei isso de Microsoft e isso parece ser algo especial e secreto. Eles só confirmam que tem algo a ver com o HybridBoot / fastStartup, mas não dão detalhes sobre o porquê disso.

    
por 10.06.2013 / 20:41
1

Eu vejo a mesma coisa nas minhas máquinas Win 8 Pro. Embora eu tenha desligado completamente, quando ligo a máquina de volta, vejo vários conjuntos de: 

WinLogon.exe -SpecialSession
   LogonUI.exe /flags:0x0
   dwm.exe -hiberboot

Os parâmetros para dwm convencem-me de que estou a ver uma funcionalidade especial relacionada com a hibernação, em vez de ataques de início de sessão.

    
por 23.02.2013 / 16:47

Tags

A resolução do conjunto de parâmetros do Powershell com parâmetro explícito falha Não é possível abrir o software remotamente XQuartz Xlib: Chave MIT-MAGIC-COOKIE-1 inválida