Ciągła praca procesu winlogon.exe i korzystanie z sieci int

Piotr4321 · 16 Grudzień 2012 15:52

Witam,

zapewne jakiś czas temu (możliwe, że nawet ponad miesiąc temu) “złapałem” jakieś “świństwo” (wirus, trojan, keylogger ?) i nie mogę się tego pozbyć. Objawy: ciągła praca procesu winlogon.exe, nawet jak nic nie robię na kompie (przy włączonym internecie zabiera od 40 do 70-80% CPU systematycznie co ok. 4 sekundy) co widać na zdjęciach:

,

a przy wyłączonej sieci winlogon.exe zabiera trochę mniej CPU - do ok. 50%, ale też regularnie (co ok. 4 sekundy). Poza tym przy włączonej sieci coś/jakiś program ciągle z niej korzysta (lub próbuje to robić), bo widzę w programie PeerBlock (który używam ze wzg. na korzystanie z sieci P2P), że w ciągu jednej sekundy jest mnóstwo łączeń z adresu IP na inny adres IP. Mój operator internetowy ma swój firewall, więc moje IP jest niewidoczne na zewnątrz (czyli mam chyba tzw. passive IP).

Z innych objawow to “zacinanie” się (zatrzymanie na ułamek sekundy) kursora myszki oraz dłuższe włączanie i wyłączanie się komputera. Czasami po kilku godzinach pracy (np. w trakcie skanowania jakimś antywirem) mój komputer zaczyna się zachowywać jak “zombi”: bardzo wolno reaguje, a CPU chodzi non-stop na 100% i żeby otworzyć, zamknąć lub przełączyć się na jakiś program trwa to nawet kilka minut, a wyłączanie komputera trwa od 15 do 20 minut (ale w końcu się wyłącza). Ostatni dziwny objaw, który zauważyłem to ciągłe (regularnie co ok. 1-2 sekundy) odświeżanie (mruganie) informacji na pasku stanu na temat podświetlonego pliku, ale ma to miejsce w przypadku tylko niektórych typów pliku (np. .txt, .gif, .csn, .cfg, .avi, mp4, .flv, .ts, .vob, .ifo, .flac, .ffp, .stt). Na innych typach plików nie ma tego odświeżania/mrugania na pasku stanu (np. .com, .dll, .ini, .reg, .jpg, .png, .html, .exe z wyjątkiem plików uninstall.exe - na tych “mruga”).

Mój sprzęt:

Pentium 4 - 2.66GHz, RAM 1Gb.

System: Windows XP SP3.

Antywirus: McAfee Total Protection. W przeglądarce (IE 8 ) jest zainstalowany plug-in McAfee’iego: Site Advisor.

Poza tym używam progamu PeerBlock, bo korzystam z sieci P2P za pomocą programu uTorrent.

Raport OTL: http://www.wklejto.pl/142203

OTL Extras: http://www.wklejto.pl/142204

Będę bardzo wdzięczny za pomoc w usunięciu tego “robactwa”.

Pozdrawiam,

Piotr

ahonen97 · 16 Grudzień 2012 16:29

Chodzi ci o winlogon.exe ? on zawsze będzie, ponieważ jest to proces systemowy odpowiedzialny za logowanie/wylogowywanie usera.

Piotr4321 · 17 Grudzień 2012 21:05

To, że jest to proces systemowy, że musi być i nie można go wyłączyć to dobrze wiem. Chodzi o to, że on ciągle “pracuje” (używa zasobów procesora), a nie powinno tak być. Problem został powyżej dokładnie przeze mnie opisany, są załączone screeny menedżera zadań, gdzie wyraźnie widac, że nawet w trakcie “nierobienia” niczego na komputerze (bez uruchomionych przeze mnie jakichkolwiek aplikacji, programów) ciągle jest używany procesor przez ten proces, a powinien być praktycznie nieużywany (Proces bezczynności systemu powinien wynosić 98-99%). Mam nadzieję, że teraz wszystko jest jasne.

Ponownie bardzo proszę o pomoc, poradę.

Pozdrawiam,

Piotr

Atis · 17 Grudzień 2012 21:50

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i klkinijSkanuj:

Pokaż ten ten log.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu.

Piotr4321 · 19 Grudzień 2012 01:12

Witam,

pierwsza rzecz (wykonanie skryptu w OTL) zrobiona. Oto raport z usuwania: http://www.wklejto.pl/142711

Co do drugiej rzeczy to mam nadzieję, że zrobiłem to dobrze. Wkleiłem do OTL do ‘Własne opcje skanowania / skrypt’ podany tekst (bez cudzysłowia):

ustawiłem opcje w OTL na takie, jak są podane w instrukcji na forum, czyli włączyłem wszędzie ‘użyj filtrowania’ oraz zaznaczyłem ‘wszyscy użytkownicy’, ‘Infekcja LOP - sprawdzanie’ oraz ‘Infekcja Purity - sprawdzanie’ i kliknąłem Skanuj.

Oto nowy raport OTL: http://www.wklejto.pl/142712

Czy mam rownież pokazać nowy raport Extras z OTL ?

Trzecia rzecz: skanowanie TDSSKiller nic nie wykrylo. Oto raport: http://www.wklejto.pl/142713

Czekam na kolejne kroki.

Pozdrawiam,

Piotr

Atis · 19 Grudzień 2012 08:35

Nie widać żadnej infekcji.

Wklej i kliknij Wykonaj skrypt:

Spróbuj odczytać bardziej szczegółowe dane dotyczące obciążenia CPU.

Process Explorer > Kliknij prawym na proces obciążający CPU > Properties > Threads > CPU

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Dr.WEB CureIt

Piotr4321 · 22 Grudzień 2012 00:33

Witam,

wszystko zrobione:

skrypt w OTL wykonany, oba pliki udanie podmienione.
wygląda na to, że wg Process Explorer procesem obciążającym pod winlogon.exe jest proces sfc_os.dll (opis: Ochrona plików systemu Windows). Tu screen Properties > Threads :

Czy pokazać właściwości tego procesu ?

Jak zabiłem ten proces (sfc_os.dll) to winlogon.exe od razu sie “uspokoił” i przestał ciągle zabierać zasoby CPU. Ale pozostałe objawy na początku opisane pozostały (czyli ciągłe korzystanie z sieci, “zacinanie” sie kursora myszki i odświeżanie (“mruganie”) informacji na pasku stanu na temat podświetlonego pliku). Tak więc główny problem jest związany z procesem sfc_os.dll

Sprzątanie OTL zrobione, ale on się sam wykasował i swoje raporty też wykasował. Czy tak miało być ?
Cały czas miałem wyłączone przywracanie systemu, od kiedy spostrzegłem problemy z komputerem. Teraz włączyłem. Czy ma być nadal włączone przywracanie systemu ?
SecurityCheck wskazał, że Java version jest out of Date i Adobe Reader jest out of Date. Czy pokazać raport ? Odinstalowałem stare Javy (Java 6, Java 6 Update 1 i Java 6 Update 2) i zainstalowałem Java 7 Update 10.

Odinstalowałem Adobe Reader 7 i zainstalowałem Adobe Reader 11.

Przeskanowałem komputer Dr.WEB CureIt - nic nie znalazł. Trochę to skanowanie trwało (prawie dwie doby), bo proces sfc_os.dll “piłował” procesor i był włączony mój antywir McAfee - powinienem był go wyłączyć przed skanowaniem Dr.WEB CureIt ?

Proszę o dalszą pomoc.

Dziękuję i pozdrawiam,

Piotr

Atis · 22 Grudzień 2012 11:06

Sprzątanie kasuje wszystkie raporty i na końcu plik OTL, a przywracanie zostaw włączone dla dysku systemowego.

Plik sfc_os.dll ma związek z systemową funkcją ochrony plików:

http://support.microsoft.com/kb/222193/pl

Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

Pokaż ten log.

Poza tym masz takie błędy:

W logu widać sterowniki od karty graficznej z 2008, więc spróbuj aktualizować sterowniki.

Błędy poniżej mogą wskazywać na problem z dyskiem:

HD Tune i S.M.A.R.T

Sprawdź czy nie ma jakiś błędów mających związek z problemem:

Kliknij prawy na Mój komputer -> Zarządzaj -> Podgląd zdarzeń

Piotr4321 · 26 Grudzień 2012 01:02

Witam,

oto raport po skanowaniu:

OTL logfile created on: 2012-12-22 14:04:10 - Run 1 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Documents and Settings\Piotr\Pulpit Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 1023,48 Mb Total Physical Memory | 637,12 Mb Available Physical Memory | 62,25% Memory free 2,40 Gb Paging File | 1,77 Gb Available in Paging File | 73,66% Paging File free Paging file location(s): C:\pagefile.sys 1536 3072 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 97,65 Gb Total Space | 3,77 Gb Free Space | 3,86% Space Free | Partition Type: NTFS Drive D: | 92,25 Gb Total Space | 0,13 Gb Free Space | 0,14% Space Free | Partition Type: NTFS Drive E: | 465,76 Gb Total Space | 0,07 Gb Free Space | 0,01% Space Free | Partition Type: NTFS Computer Name: PITT | User Name: Piotr | Logged in as Administrator. Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days ========== Custom Scans ========== < MD5 for: SFC_OS.DLL > [2008-04-14 18:20:46 | 000,140,800 | ---- | M] (Microsoft Corporation) MD5=04069EE1DCB67F184E268210AA138E5D – C:\WINDOWS\ServicePackFiles\i386\sfc_os.dll [2008-04-14 18:20:46 | 000,140,800 | ---- | M] (Microsoft Corporation) MD5=04069EE1DCB67F184E268210AA138E5D – C:\WINDOWS\system32\dllcache\sfc_os.dll [2008-04-14 18:20:46 | 000,140,800 | ---- | M] (Microsoft Corporation) MD5=04069EE1DCB67F184E268210AA138E5D – C:\WINDOWS\system32\sfc_os.dll [2004-08-04 00:44:10 | 000,140,800 | ---- | M] (Microsoft Corporation) MD5=0A4A1F753299CAEF9EC4011E5C278B70 – C:\WINDOWS$NtServicePackUninstall$\sfc_os.dll < End of report >

Zaktualizowałem sterowniki od karty graficznej, są teraz z 2010 r. Nowszych nie ma.

Co do dysku(ów) to przeskanowałem HD Tune oba dyski. Oto co pokazał:

dysk startowy Maxtor podzielony na dwie partycje (C: i D:) - nie ma na nim błędów. Wygląda, że z nim jest wszystko OK:

drugi dysk Seagate ST3500320AS - są na nim dwa uszkodzone bloki, ale poza tym działa bez problemów:

W podglądzie zdarzeń pod Aplikacja jest dużo błędów, ale odnoszą się głównie do problemów z aktualizacją Windowsa (może dlatego, że mam włączony ręczny tryb uruchamiania pobierania aktualizacji ?). Oto przykład takiego błędu:

Jedyny błąd jaki znalazłem, gdzie była mowa o winlogon.exe to ten, który miał miejsce w poniedziałek:

Typ zdarzenia: Błąd Źródło zdarzenia: McLogEvent Kategoria zdarzenia: Brak Identyfikator zdarzenia: 5051 Data: 2012-12-24 Godzina: 05:03:06 Użytkownik: ZARZĄDZANIE NT\SYSTEM Komputer: PITT Opis: Nie można znaleźć opisu dla identyfikatora zdarzenia ( 5051 ) w źródle ( McLogEvent ). Być może komputer lokalny nie ma wymaganych informacji rejestru lub plików DLL potrzebnych do wyświetlania komunikatów z komputera zdalnego. Możesz Iżyć flagi /AUXSOURCE= do pobrania tego opisu; więcej informacji można znaleźć w Pomocy i obsłudze technicznej. Następujące informacje są częścią zdarzenia: C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe; 90000; 1936 (0x790); 0x7C90E514; Build VSCORE.15.1.0.513 / 5500.1093 Object being scanned = \Device\HarddiskVolume1\WINDOWS\system32\c_1251.nls by ??\C:\WINDOWS\system32\winlogon.exe 4(0)(0) 4(0)(0) 7200(0)(0) 7595(0)(0) 7005(0)(0) 7004(0)(0) 5006(0)(0) 5004(0)(0) .

Przez ciekawość zajrzałem również do Menedżera urządzeń i pod Urządzeniami systemowymi mam jedną pozycję z żółtym wykrzyknikiem: Plug and Play BIOS Extension. Nie wiem czy to jest ważne…

I na koniec najciekawsze: dziś po włączeniu komputera winlogon.exe jest “spokojny”, nie pracuje ciągle. Odświeżania (“mrugania”) informacji na pasku zadań również nie ma, kursor myszki też już generalnie nie zacina się. Ostatnią rzeczą jaką robiłem to było testowanie dysku za pomocą HD Tune i to chyba nie mogło pomóc… Uruchamiałem również uTorrent, który zaktualizował się do nowszej wersji. Poza tym antywir McAfee rownież zainstalował jakieś aktualizacje. Mam nadzieję, że problem się rozwiązał “na dobre”. Będę monitorował zachowanie winlogon.exe i reszty.

Proszę o info czy mam cos jeszcze zrobić, sprawdzić, przetestować…

Wesolych i spokojnych swiąt.

pozdrawiam,

Piotr

– Dodane 30.12.2012 (N) 16:08 –

Witam,

bardzo proszę o informację czy mam coś jeszcze zrobić, przeskanować, sprawdzić, itp…

I czy mogę już włączyć z powrotem emulator CD (Alcohol 120%) za pomocą Defogger’a ?

Dziękuję za pomoc.

Pozdrawiam,

Piotr

Atis · 31 Grudzień 2012 16:04

Nie musisz skanować.

Jeżeli nadal masz problem to spróbuj odinstalować McAfee, bo w treści błędu widać, że ten program ma z tym związek.

Możesz włączyć emulator.

Piotr4321 · 5 Styczeń 2013 14:01

Witam,

wszystko działa tak jak powinno, więc chyba sprawę można zamknąć.

Atis, bardzo dziękuję za pomoc.

Pozdrawiam,

Piotr