11.10.2011, 00:29
|
[включить плавающее окно] Вверх #1 |
 ОпытныйАвтор темы 
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
|
Разклонировались системные процессы.
Я немножко был в шоке, когда случайно это увидел. Расклонировались два системных процесса: WinLogon и CSRSS. Итого их по три штуки. Причем попарно(по времени запуска).
Диспетчер задач грузится от имени второй пары(по старшинству). Те же результаты показывают и другие "Диспетчера задач": Process Explorer, TaskMgr(встроенный), TaskList(встроенный), PsList(Sysinternals). В системном логе на момент старта процессов ничего необычного не происходит. В последние пару дней ничего особенного с системой не делал(на соседнем ноуте на Calculate Linux настраивал Wi-Fi и собирал FireFox - это ведь не считается, да?) Кто-то встречался с подобным? Что могло такое вызвать? Ждать мне каюк системе, или будет жить? EDIT: CureIT молчит. Последний раз редактировалось FeyFre; 11.10.2011 в 00:50. |
 |
|
|
11.10.2011, 07:01
|
[включить плавающее окно] Вверх #2 |
 Экс-модератор
Регистрация: 20.04.2004
Адрес: Московская область
|
FeyFre, путь отследите у WinLogon. Один из них троян почти наверняка.
__________________
Veo voto. |
|
|
|
|
11.10.2011, 07:22
|
[включить плавающее окно] Вверх #3 |
Модератор
Регистрация: 30.12.2004
Адрес: Новосибирск
|
Цитата
(FeyFre) »
Кто-то встречался с подобным?
 ).Ты там со своей XP-ёй не шаманил по поводу подключений по RDP без прерывания текущей консольной сессии?..
__________________
С уважением, Олег Р. Смирнов |
|
|
|
|
11.10.2011, 10:24
|
[включить плавающее окно] Вверх #4 |
|
Опытный Автор темы
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
|
Ariny, нет, легальные они.
Smirnoff, не шаманил вроде бы(без надобности оно на домашне мне). Хотя в списике хендлов вижу открытые с именем \sessions\1, \sessions\2. Но врядли кто-то пытался попасть удаленно - нету надобности. Но вот времена запуска двойников подозрительно совпадают с временами прсыпания системы(причем только с некоторыми, а не со всеми). |
|
|
|
|
11.10.2011, 10:30
|
[включить плавающее окно] Вверх #5 |
|
Модератор
Регистрация: 30.12.2004
Адрес: Новосибирск
|
Цитата
(FeyFre) »
совпадают с временами прсыпания системы
__________________
С уважением, Олег Р. Смирнов |
|
|
|
|
11.10.2011, 10:59
|
[включить плавающее окно] Вверх #6 |
|
Опытный Автор темы
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
|
Smirnoff, ну вот гибернация же - дословно зимняя спячка(aka Suspend-To-Disk), а не ожидание.
|
|
|
|
|
11.10.2011, 11:20
|
[включить плавающее окно] Вверх #7 |
|
Модератор
Регистрация: 30.12.2004
Адрес: Новосибирск
|
Цитата
(FeyFre) »
гибернация же - дословно зимняя спячка
__________________
С уважением, Олег Р. Смирнов |
|
|
|
|
11.10.2011, 11:40
|
[включить плавающее окно] Вверх #8 |
|
Опытный Автор темы
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
|
Я тоже, случайно заметил, буду первым
 . Я так подозреваю что клонировалось не каждый раз, ибо просыпаний-засыпаний было значительно больше(например, два просыпания 10-го в 8 вечера не отобразились).
|
|
|
|
|
11.10.2011, 11:41
|
[включить плавающее окно] Вверх #9 |
Абсолютный
Регистрация: 08.04.2009
|
FeyFre
Может быть система при просыпании запускает WinLogon, но не всегда его убивает?
__________________
Под косматой елью, в темном подземелье, Где рождается родник, — меж корней живет старик. |
|
|
|
|
11.10.2011, 11:54
|
[включить плавающее окно] Вверх #10 |
|
Опытный Автор темы
Регистрация: 05.03.2010
Адрес: Vinnitsa, UA
|
BSE, при просыпании, точне при logon-операциях(logon,logoff,switch user,shutdown,restart) запускается приложение logonui.exe с соотв. параметрами. Оно отвечает за экран приветствия и "прощания".(И это только если соотв. настройка разрешенна). WinLogon остается тот-же.
|
|
|
|
|
11.10.2011, 16:30
|
[включить плавающее окно] Вверх #11 |
|
Модератор
Регистрация: 30.12.2004
Адрес: Новосибирск
|
Цитата
(FeyFre) »
случайно заметил, буду первым
__________________
С уважением, Олег Р. Смирнов |
|
|
|
  |
| Метки |
| bug, csrss, subsystem, windows, winlogon |
|
|
Линейный вид
