Ciągła praca procesu winlogon.exe i korzystanie z sieci int


(Pittmann) #1

Witam,

zapewne jakiś czas temu (możliwe, że nawet ponad miesiąc temu) "złapałem" jakieś "świństwo" (wirus, trojan, keylogger ?) i nie mogę się tego pozbyć. Objawy: ciągła praca procesu winlogon.exe, nawet jak nic nie robię na kompie (przy włączonym internecie zabiera od 40 do 70-80% CPU systematycznie co ok. 4 sekundy) co widać na zdjęciach:

image_id: 5244[image_id: 5245

a przy wyłączonej sieci winlogon.exe zabiera trochę mniej CPU - do ok. 50%, ale też regularnie (co ok. 4 sekundy). Poza tym przy włączonej sieci coś/jakiś program ciągle z niej korzysta (lub próbuje to robić), bo widzę w programie PeerBlock (który używam ze wzg. na korzystanie z sieci P2P), że w ciągu jednej sekundy jest mnóstwo łączeń z adresu IP na inny adres IP. Mój operator internetowy ma swój firewall, więc moje IP jest niewidoczne na zewnątrz (czyli mam chyba tzw. passive IP).

Z innych objawow to "zacinanie" się (zatrzymanie na ułamek sekundy) kursora myszki oraz dłuższe włączanie i wyłączanie się komputera. Czasami po kilku godzinach pracy (np. w trakcie skanowania jakimś antywirem) mój komputer zaczyna się zachowywać jak "zombi": bardzo wolno reaguje, a CPU chodzi non-stop na 100% i żeby otworzyć, zamknąć lub przełączyć się na jakiś program trwa to nawet kilka minut, a wyłączanie komputera trwa od 15 do 20 minut (ale w końcu się wyłącza). Ostatni dziwny objaw, który zauważyłem to ciągłe (regularnie co ok. 1-2 sekundy) odświeżanie (mruganie) informacji na pasku stanu na temat podświetlonego pliku, ale ma to miejsce w przypadku tylko niektórych typów pliku (np. .txt, .gif, .csn, .cfg, .avi, mp4, .flv, .ts, .vob, .ifo, .flac, .ffp, .stt). Na innych typach plików nie ma tego odświeżania/mrugania na pasku stanu (np. .com, .dll, .ini, .reg, .jpg, .png, .html, .exe z wyjątkiem plików uninstall.exe - na tych "mruga").

Mój sprzęt:

Pentium 4 - 2.66GHz, RAM 1Gb.

System: Windows XP SP3.

Antywirus: McAfee Total Protection. W przeglądarce (IE 8 ) jest zainstalowany plug-in McAfee'iego: Site Advisor.

Poza tym używam progamu PeerBlock, bo korzystam z sieci P2P za pomocą programu uTorrent.

Raport OTL: http://www.wklejto.pl/142203

OTL Extras: http://www.wklejto.pl/142204

Będę bardzo wdzięczny za pomoc w usunięciu tego "robactwa".

Pozdrawiam,

Piotr


(ahonen97) #2

Chodzi ci o winlogon.exe ? on zawsze będzie, ponieważ jest to proces systemowy odpowiedzialny za logowanie/wylogowywanie usera.


(Pittmann) #3

To, że jest to proces systemowy, że musi być i nie można go wyłączyć to dobrze wiem. Chodzi o to, że on ciągle "pracuje" (używa zasobów procesora), a nie powinno tak być. Problem został powyżej dokładnie przeze mnie opisany, są załączone screeny menedżera zadań, gdzie wyraźnie widac, że nawet w trakcie "nierobienia" niczego na komputerze (bez uruchomionych przeze mnie jakichkolwiek aplikacji, programów) ciągle jest używany procesor przez ten proces, a powinien być praktycznie nieużywany (Proces bezczynności systemu powinien wynosić 98-99%). Mam nadzieję, że teraz wszystko jest jasne.

Ponownie bardzo proszę o pomoc, poradę.

Pozdrawiam,

Piotr


(Atis) #4

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania.

Wklej i klkinijSkanuj:

Pokaż ten ten log.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu.


(Pittmann) #5

Witam,

pierwsza rzecz (wykonanie skryptu w OTL) zrobiona. Oto raport z usuwania: http://www.wklejto.pl/142711

Co do drugiej rzeczy to mam nadzieję, że zrobiłem to dobrze. Wkleiłem do OTL do 'Własne opcje skanowania / skrypt' podany tekst (bez cudzysłowia):

ustawiłem opcje w OTL na takie, jak są podane w instrukcji na forum, czyli włączyłem wszędzie 'użyj filtrowania' oraz zaznaczyłem 'wszyscy użytkownicy', 'Infekcja LOP - sprawdzanie' oraz 'Infekcja Purity - sprawdzanie' i kliknąłem Skanuj.

Oto nowy raport OTL: http://www.wklejto.pl/142712

Czy mam rownież pokazać nowy raport Extras z OTL ?

Trzecia rzecz: skanowanie TDSSKiller nic nie wykrylo. Oto raport: http://www.wklejto.pl/142713

Czekam na kolejne kroki.

Pozdrawiam,

Piotr


(Atis) #6

Nie widać żadnej infekcji.

Wklej i kliknij Wykonaj skrypt:

Spróbuj odczytać bardziej szczegółowe dane dotyczące obciążenia CPU.

Process Explorer > Kliknij prawym na proces obciążający CPU > Properties > Threads > CPU

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Dr.WEB CureIt


(Pittmann) #7

Witam,

wszystko zrobione:

  1. skrypt w OTL wykonany, oba pliki udanie podmienione.

  2. wygląda na to, że wg Process Explorer procesem obciążającym pod winlogon.exe jest proces sfc_os.dll (opis: Ochrona plików systemu Windows). Tu screen Properties > Threads :

image_id: 5255

Czy pokazać właściwości tego procesu ?

Jak zabiłem ten proces (sfc_os.dll) to winlogon.exe od razu sie "uspokoił" i przestał ciągle zabierać zasoby CPU. Ale pozostałe objawy na początku opisane pozostały (czyli ciągłe korzystanie z sieci, "zacinanie" sie kursora myszki i odświeżanie ("mruganie") informacji na pasku stanu na temat podświetlonego pliku). Tak więc główny problem jest związany z procesem sfc_os.dll

  1. Sprzątanie OTL zrobione, ale on się sam wykasował i swoje raporty też wykasował. Czy tak miało być ?

  2. Cały czas miałem wyłączone przywracanie systemu, od kiedy spostrzegłem problemy z komputerem. Teraz włączyłem. Czy ma być nadal włączone przywracanie systemu ?

  3. SecurityCheck wskazał, że Java version jest out of Date i Adobe Reader jest out of Date. Czy pokazać raport ? Odinstalowałem stare Javy (Java 6, Java 6 Update 1 i Java 6 Update 2) i zainstalowałem Java 7 Update 10.

Odinstalowałem Adobe Reader 7 i zainstalowałem Adobe Reader 11.

  1. Przeskanowałem komputer Dr.WEB CureIt - nic nie znalazł. Trochę to skanowanie trwało (prawie dwie doby), bo proces sfc_os.dll "piłował" procesor i był włączony mój antywir McAfee - powinienem był go wyłączyć przed skanowaniem Dr.WEB CureIt ?

Proszę o dalszą pomoc.

Dziękuję i pozdrawiam,

Piotr


(Atis) #8

Sprzątanie kasuje wszystkie raporty i na końcu plik OTL, a przywracanie zostaw włączone dla dysku systemowego.

Plik sfc_os.dll ma związek z systemową funkcją ochrony plików:

http://support.microsoft.com/kb/222193/pl

Uruchom OTL i kliknij Nic

Wklej i kliknij Skanuj:

Pokaż ten log.

Poza tym masz takie błędy:

W logu widać sterowniki od karty graficznej z 2008, więc spróbuj aktualizować sterowniki.

Błędy poniżej mogą wskazywać na problem z dyskiem:

HD Tune i S.M.A.R.T

Sprawdź czy nie ma jakiś błędów mających związek z problemem:

Kliknij prawy na Mój komputer -> Zarządzaj -> Podgląd zdarzeń


(Pittmann) #9

Witam,

oto raport po skanowaniu:

Zaktualizowałem sterowniki od karty graficznej, są teraz z 2010 r. Nowszych nie ma.

Co do dysku(ów) to przeskanowałem HD Tune oba dyski. Oto co pokazał:

  1. dysk startowy Maxtor podzielony na dwie partycje (C: i D:) - nie ma na nim błędów. Wygląda, że z nim jest wszystko OK:

image_id: 5261image_id: 5262

  1. drugi dysk Seagate ST3500320AS - są na nim dwa uszkodzone bloki, ale poza tym działa bez problemów:

image_id: 5263image_id: 5264image_id: 5265

W podglądzie zdarzeń pod Aplikacja jest dużo błędów, ale odnoszą się głównie do problemów z aktualizacją Windowsa (może dlatego, że mam włączony ręczny tryb uruchamiania pobierania aktualizacji ?). Oto przykład takiego błędu:

Jedyny błąd jaki znalazłem, gdzie była mowa o winlogon.exe to ten, który miał miejsce w poniedziałek:

Przez ciekawość zajrzałem również do Menedżera urządzeń i pod Urządzeniami systemowymi mam jedną pozycję z żółtym wykrzyknikiem: Plug and Play BIOS Extension. Nie wiem czy to jest ważne...

I na koniec najciekawsze: dziś po włączeniu komputera winlogon.exe jest "spokojny", nie pracuje ciągle. Odświeżania ("mrugania") informacji na pasku zadań również nie ma, kursor myszki też już generalnie nie zacina się. Ostatnią rzeczą jaką robiłem to było testowanie dysku za pomocą HD Tune i to chyba nie mogło pomóc... Uruchamiałem również uTorrent, który zaktualizował się do nowszej wersji. Poza tym antywir McAfee rownież zainstalował jakieś aktualizacje. Mam nadzieję, że problem się rozwiązał "na dobre". Będę monitorował zachowanie winlogon.exe i reszty.

Proszę o info czy mam cos jeszcze zrobić, sprawdzić, przetestować...

Wesolych i spokojnych swiąt.

pozdrawiam,

Piotr

-- Dodane 30.12.2012 (N) 16:08 --

Witam,

bardzo proszę o informację czy mam coś jeszcze zrobić, przeskanować, sprawdzić, itp...

I czy mogę już włączyć z powrotem emulator CD (Alcohol 120%) za pomocą Defogger'a ?

Dziękuję za pomoc.

Pozdrawiam,

Piotr


(Atis) #10

Nie musisz skanować.

Jeżeli nadal masz problem to spróbuj odinstalować McAfee, bo w treści błędu widać, że ten program ma z tym związek.

Możesz włączyć emulator.


(Pittmann) #11

Witam,

wszystko działa tak jak powinno, więc chyba sprawę można zamknąć.

Atis, bardzo dziękuję za pomoc.

Pozdrawiam,

Piotr