winlogon.exe выжирает ВСЮ память при подключении с помощью rdesktop

W2003Server Standart Edition, Celeron 1,7 и 504м оперативки.
Задачи сервера-AD (5 пользователей), DNS, DHCP а также подключение к интернету и его раздача.

Администраторы привыкли заходить на сервер через rdesktop (потому что на сервере больше года не было монитора).
С сегодняшнего утра при заходе через rdesktop на сервере за 20 сек процесс winlogon увеличивается с 52,000к до 122,000к, жесткий диск активно начинает выделять место под своп и все это дело подвисает. Если пользователь отключается (и сетевой шнурок выдергивает), то минут через 5 сервер начинает реагировать. Выделенная память не освобождается.
На наличие вирусов проверили с помощью 3-х антивирусов (на первый (NOD32) погрешили, что это из-за его нового обновления, 2-й -это cureit.exe от drweb, 3-й (TrendMicro) поставили вместо первого, ибо давно уже планировали).
Нового софта не ставили.

Если не подключаться к серверу с помощью redsktop, то все нормально.

Что это может быть и как с этим бороться?

1) что в event'ах?
2) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify - сравните набор подключей с аналогичным сервером...

только выскакивает еще, что места на диске для свопа не хватает.
Event Type: Information
Event Source: Disk
Event Category: None
Event ID: 119
Date: 1/19/2008
Time: 12:23:22
User: N/A
Computer: DEDOVICA
Description:
The driver for device \Device\Harddisk0\DR0 delayed non-paging Io requests for 250 ms to recover from a low memory condition.

Извиняюсь, начало случайно стерла...
Вот оно

1) На первый взгляд, все нормально:
Event Type: Information
Event Source: RemoteAccess
Event Category: None
Event ID: 20158
Date: 1/19/2008
Time: 11:30:02
User: N/A
Computer: DEDOVICA
Description:
The user cpg successfully established a connection to DATAGROUP using the device PPPoE5-0.
(зашли рдесктопом)

Event Type: Information
Event Source: E100B
Event Category: None
Event ID: 5
Date: 1/19/2008
Time: 11:49:02
User: N/A
Computer: DEDOVICA
Description:
Adapter Intel(R) PRO/100 VE Network Connection: Adapter Link Up
(подключили интернет)

Event Type: Information
Event Source: IPSec
Event Category: None
Event ID: 4295
Date: 1/19/2008
Time: 11:49:04
User: N/A
Computer: DEDOVICA
Description:
The IPSec Driver is starting in Bypass mode. No IPSec security is being applied while this computer starts up. IPSec policies, if they have been assigned, will be applied to this computer after the IPSec services start.
(?)

Event Type: Information
Event Source: EventLog
Event Category: None
Event ID: 6005
Date: 1/19/2008
Time: 11:49:44
User: N/A
Computer: DEDOVICA
Description:
The Event log service was started.
Microsoft (R) Windows (R) 5.02. 3790 Uniprocessor Free.
The previous system shutdown at 11:47:03 on 19.01.2008 was unexpected.
(и перегрузились)

Следующие разы то же самое, только выскакивает еще, что места на диске для свопа не хватает.
Event Type: Information
Event Source: Disk
Event Category: None
Event ID: 119
Date: 1/19/2008
Time: 12:23:22
User: N/A
Computer: DEDOVICA
Description:
The driver for device \Device\Harddisk0\DR0 delayed non-paging Io requests for 250 ms to recover from a low memory condition.

2) второй машинки с 2003 виндой нет :( Могу выложить, что лежит в этой ветке, только его достаточно много...

Проверьте, хватает ли там места под своп, также стоит проверить жесткий диск на ошибки, если есть возможность.

Aliced

стерла

Эххх, давненько уже этого не писали...
ФОТО В СТУДИЮ!!!

Aliced

W2003Server Standart Edition, Celeron 1,7 и 504м оперативки. Задачи сервера-AD (5 пользователей), DNS, DHCP а также подключение к интернету и его раздача. Администраторы привыкли заходить на сервер через rdesktop (потому что на сервере больше года не было монитора). С сегодняшнего утра при заходе через rdesktop на сервере за 20 сек процесс winlogon увеличивается с 52,000к до 122,000к, жесткий диск активно начинает выделять место под своп и все это дело подвисает. Если пользователь отключается (и сетевой шнурок выдергивает), то минут через 5 сервер начинает реагировать. Выделенная память не освобождается. На наличие вирусов проверили с помощью 3-х антивирусов (на первый (NOD32) погрешили, что это из-за его нового обновления, 2-й -это cureit.exe от drweb, 3-й (TrendMicro) поставили вместо первого, ибо давно уже планировали). Нового софта не ставили. Если не подключаться к серверу с помощью redsktop, то все нормально. Что это может быть и как с этим бороться?

У меня возникла та же самая проблема. Память, занимаемая системой ворастает с 360Мb до 1,75Gb. Своими силами побороть этот эффект пока не могу.
Aliced, удалось ли Вам решить эту проблему??? Если да, то каким способом?

Народ, посоветуйте, как можно избавиться от подобного эффекта? Систему переустанавливать нет никакого желания...

Обратите внимание на процесс ntos. Скачайте cureit с сайта DrWeb и просканируйте весь сис. диск. Эта зараза пишется во врем. папки пользователей. (ntos.exe).
У меня проблемка эта всплыла недавно, дошло до того что мне было даже отказано в локальном входе из-за недостатка памяти. Сейчас пролечил - вроде нормально.

Odisee

Обратите внимание на процесс ntos. Скачайте cureit с сайта DrWeb и просканируйте весь сис. диск. Эта зараза пишется во врем. папки пользователей. (ntos.exe). У меня проблемка эта всплыла недавно, дошло до того что мне было даже отказано в локальном входе из-за недостатка памяти. Сейчас пролечил - вроде нормально.

Огромное спасибо. Это именно оно. Причем когда вручную удалял ntos.exe и вычищал его из реестра - не помогало. А NOD32 пропускал его "мимо ушей"... :(
С отказом в доступе - тоже было, но это из-за нехватки места на системном диске (доходило до нуля).
Этот процесс создавал паразитические EXE файлы с непонятным названием в system32. У меня их был 3 шт, размером от 10 до 30 Gb!!! Было замечено, что во время того, как съедалась память -- росли в размере эти паразитические EXE-шники. Но ручками удалилялись успешно.
DrWeb определил эту заразу (ntos), как FTP сервер... приятного мало :(
Сейчас все нормально. За помощь спасибо :)