winlogon.exe -SpecialSessionとは何ですか?
私はWindows8Enterpriseを実行しています。数回、複数のwinlogon.exeプロセスが実行されていることに気づきました(追加のcsrss.exeとdwm.exeを伴う)。今日は1つ余分に見ましたが、初めて気付いたときは5つまたは6つ余分にありました。
Process Explorerは、それらがすべて実際にC:\Windows\System32\winlogon.exeであることを示していますが、余分なものはフラグ-SpecialSessionで開始されており、その親プロセスはもう存在しません。
MalwarebytesおよびSpybotS&Dを使用したマルウェアスキャンでは何も表示されず、WindowsDefenderはサイレントのままです。
この-SpecialSessionオプションとは何ですか?これらの追加のインスタンスはどこから来るのでしょうか?グーグルはそれについて何も知らないようだ。
Windows 8にアップグレードしてからも、この動作が見られます。Windows7、FWIWをインプレースアップグレードしました。コメントするポイントが足りないので、これを答えとして書いています。
孤立したwinlogon.exeとその子プロセスの各セットは、Windows8の新しい「高速ブート/ハイブリッドスリープ」機能の成果物である可能性が高いという明確なパターンがあります。デフォルトでは、Windows8は完全にシャットダウンしません。チャームバーから「シャットダウン」を選択すると、実際にはログアウトされますが、シャットダウンする代わりに、Windowsは休止状態になります。このようにオンに戻すと、完全に起動するのではなく、ログインプロンプトで休止状態から再開します。
現在、私の最も古い一連のプロセスは12日経過していますが、毎日コンピューターをシャットダウンしています。私はこれらのプロセスグループを約12個持っています。
有害な副作用はまだ観察されていませんが、「高速起動」を無効にしてみます。とにかくもっと速いとは思いません。
コントロールパネル\すべてのコントロールパネルアイテム\電源オプション\システム設定
わかりました、私はこれを Microsoft に尋ねました、そしてこれはいくつかの特別な秘密のことのようです。彼らはそれがHybridBoot/fastStartupと関係があることを確認するだけで、なぜそうなのか詳細は明らかにしていません。
Win 8Proマシンでも同じことがわかります。完全にシャットダウンしましたが、マシンの電源をオンに戻すと、次のセットが複数表示されます。
WinLogon.exe -SpecialSession
LogonUI.exe /flags:0x0
dwm.exe -hiberboot
dwmのパラメータは、ログオン攻撃ではなく、特別な休止状態関連の機能を検討していることを私に確信させます。