През последните 15-тина дни забелязвам нещо обезпокоително - winlogon.exe лапа по 20-45% CPU през цялото време! След рестарт на машината е около 20% и това пак е подозрително много.

Четох, че при незнам кой си Винбоз имало някакъв проблем с spooler-а и това водело до такива резултати, но при мен такова нещо няма, да не говорим, че съм с XP SP2 + всички critical ъпдейти след това.

Някакви други идеи?

В стартираните процеси, погледни, дали случайно нямаш 2 процеса winlogon. Сканира ли за adware/spyware/etc *ware? Онзи ден чистих една машина, която имаше подобен проблем - разни боклуци, а winlogon - 2 пъти.

Обърни внимание и на services.exe. Ако и това го има 2 пъти, като единия път, вероятно ще е SERVICES.EXE (с големи букви, демек) - имаш вирусче, но е по-скоро досадно, отколкото опасно.

П.П. Ето, за spoolsv.exe:
spoolsv.exe is a Microsoft Windows system executable which handles the printing process to your local printers. Note: spoolsv.exe is also a process which is registered as the Backdoor.Ciadoor.B Trojan. This Trojan allows attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should be removed immediately. Please see additional details regarding this process
Източник (http://www.liutilities.com/products/wintaskspro/processlibrary/spoolsv/)

Хъм, действително има два winlogon-а... единия пуснат от SYSTEM, другия от моя user... Миналата седмица сканирах с Adaware и не показа аномалии, да видим сега какво ще каже...

За съжалене не мога да отделя много време в момента, но опитай следното:

С помощта на msconfig (разбира се! :D ) спри стартирането на winlogon при Startup. Проследи пътя, който показва там - мисля, че се виждаше точно. Не помня със сигурност. :(
Ако съм на прав път, отиваш в системната папка, която и да беше и старателно почистваш.

П.П. Нали сканираш в Safe Mode? Ако "не" - дай така, за да се стартират минимален брой процеси.

Тъй, в msconfig няма нищо, което да е тревожно.

AdAware откри вероятния проблем - един ключ в регистрите и един файл в system32. Сканирах в safe mode, да. Опитах да изтрия тоя ключ и файла - уви, създават се наново.

Въпросното прасе е следното:
Location:software\microsoft\windows nt\currentversion\winlogon "Shell" (explorer.exe c:\winxp\system32\fservice.exe)

До колкото разбирам, туй било Backdoor.Prorat... ша я видим тая работа...

Вероятно вече си проверил, но ето, какво мернах случайно:


When Backdoor.Prorat is executed, it performs the following actions:

1. Copies itself to the %System% or %Windir% folder. The following file names have been seen, however, it is possible that different variants use different file names:
* %System%\Main.exe
* %System%\Loader.exe
* %System%\Msmsg.exe
* %System%\Winserv.dll
* %System%\Fservice.exe
* %System%\Sservice.exe
* %Windir%\Winlogon.exe
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.prorat.html

Някакво безплатно, уж вършещо работа чистене: http://www.paretologic.com/xoftspy/lp/14/

Мерси, точно щях да тествам Симантешкия акъл за премахване...

А тва уж безплатното въобще не намери Прорат... намери някаква друга измислица и не иска да я премахне без да си платиш :) ! Иначе AdAware открива Прорат, но не може да го премахне (явно само в safe mode with prompt ша стане).

Start > Run > пишеш msconfig там огледай в start up-а какво се е загнездило...има един досаден dumprep -0 k ,който можеш да махнеш от там директно.
Другото,което ти препоръчвам е да преминеш на NOD32,ъпдейтваш го и рестартваш в Safe Mode,и така вече трябва да го затриеш...
Третият начин е да използваш System Restore(този вариант е най-разумен и лесен).
И друг път внимавай по кои ххх сайтове ходиш. :D

Както казах, с Startup-a нямаше нищо, колкото и странно да е. Ползвам НОД32 от около година, но отново както казах - не помага. System restore е изключен, разбира се.

Няма значение, в safe mode with prompt успях да затрия паразитните reg entries и нещата се стабилизираха. Мерси.

пп: Този Прорат не се е лепнал от порно сайт, гаранция, просто защото такива на тая машина не се гледат.

avast и CA etrust го ловат въпросния бръмбар (преди седмица май имаше инфекцийка)