Форум 3DNews
Вернуться   Форум 3DNews > Софт > Операционные системы Microsoft Windows

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 11.10.2011, 01:29   [включить плавающее окно]   #1
FeyFre
Мужской Опытный
Автор темы
 
Аватар для FeyFre
 
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
Разклонировались системные процессы.

Я немножко был в шоке, когда случайно это увидел. Расклонировались два системных процесса: WinLogon и CSRSS. Итого их по три штуки. Причем попарно(по времени запуска).
Диспетчер задач грузится от имени второй пары(по старшинству). Те же результаты показывают и другие "Диспетчера задач": Process Explorer, TaskMgr(встроенный), TaskList(встроенный), PsList(Sysinternals). В системном логе на момент старта процессов ничего необычного не происходит. В последние пару дней ничего особенного с системой не делал(на соседнем ноуте на Calculate Linux настраивал Wi-Fi и собирал FireFox - это ведь не считается, да?)
Кто-то встречался с подобным? Что могло такое вызвать? Ждать мне каюк системе, или будет жить?
EDIT: CureIT молчит.
Миниатюры
Нажмите на изображение для увеличения
Название: winbug.png
Просмотров: 362
Размер:	74.7 Кб
ID:	33917  

Последний раз редактировалось FeyFre; 11.10.2011 в 01:50.
FeyFre вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 08:01   [включить плавающее окно]   #2
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
FeyFre, путь отследите у WinLogon. Один из них троян почти наверняка.
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 11.10.2011, 08:22   [включить плавающее окно]   #3
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (FeyFre) »
Кто-то встречался с подобным?
Только что слазил на клиентский терминальный сервак - там этих WinLogon-ов три штуки - по количеству подключившихся клиентов (csrss-ы подсчитывать замаялся, сервер всё-ж таки ).
Ты там со своей XP-ёй не шаманил по поводу подключений по RDP без прерывания текущей консольной сессии?..
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 11:24   [включить плавающее окно]   #4
FeyFre
Мужской Опытный
Автор темы
 
Аватар для FeyFre
 
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
Ariny, нет, легальные они.

Smirnoff
, не шаманил вроде бы(без надобности оно на домашне мне). Хотя в списике хендлов вижу открытые с именем \sessions\1, \sessions\2. Но врядли кто-то пытался попасть удаленно - нету надобности. Но вот времена запуска двойников подозрительно совпадают с временами прсыпания системы(причем только с некоторыми, а не со всеми).
FeyFre вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 11:30   [включить плавающее окно]   #5
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (FeyFre) »
совпадают с временами прсыпания системы
Честно говоря, на десктопах всё-таки "сон" - "от лукавого"; если так напрягает выключение/включение - может, гибернацию тогда уж?..
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 11:59   [включить плавающее окно]   #6
FeyFre
Мужской Опытный
Автор темы
 
Аватар для FeyFre
 
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
Smirnoff, ну вот гибернация же - дословно зимняя спячка(aka Suspend-To-Disk), а не ожидание.
FeyFre вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 12:20   [включить плавающее окно]   #7
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (FeyFre) »
гибернация же - дословно зимняя спячка
Так это у тебя после выхода из гибернации? Забавно, не сталкивался ни разу с таким эффектом...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 12:40   [включить плавающее окно]   #8
FeyFre
Мужской Опытный
Автор темы
 
Аватар для FeyFre
 
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
Я тоже, случайно заметил, буду первым . Я так подозреваю что клонировалось не каждый раз, ибо просыпаний-засыпаний было значительно больше(например, два просыпания 10-го в 8 вечера не отобразились).
FeyFre вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 12:41   [включить плавающее окно]   #9
BSE
Мужской Абсолютный
 
Аватар для BSE
 
Регистрация: 08.04.2009
Адрес: Минск / Владивосток
FeyFre
Может быть система при просыпании запускает WinLogon, но не всегда его убивает?
__________________
Под косматой елью, в темном подземелье,
Где рождается родник, — меж корней живет старик.
BSE вне форума  
Ответить с цитированием
Непрочитано 11.10.2011, 12:54   [включить плавающее окно]   #10
FeyFre
Мужской Опытный
Автор темы
 
Аватар для FeyFre
 
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
BSE, при просыпании, точне при logon-операциях(logon,logoff,switch user,shutdown,restart) запускается приложение logonui.exe с соотв. параметрами. Оно отвечает за экран приветствия и "прощания".(И это только если соотв. настройка разрешенна). WinLogon остается тот-же.
FeyFre вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 11.10.2011, 17:30   [включить плавающее окно]   #11
Smirnoff
Мужской Модератор
 
Аватар для Smirnoff
 
Регистрация: 30.12.2004
Адрес: Новосибирск
Цитата (FeyFre) »
случайно заметил, буду первым
Не возражаю...
__________________
С уважением,
Олег Р. Смирнов
Smirnoff вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Метки
bug, csrss, subsystem, windows, winlogon

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 12:40. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey