Odpověď od MS bude "zkontrolujte si systém na viry a spyware".

Skutečně existuje (AFAIK vzácný) memory leak ve winlogon.exe který se za těžko dešifrovatelných podmínek objevuje na Windows Serverech a souvisí s používáním vzdálené plochy vs. session 0 (konzoly) a Microsoft k němu mlčí.

V ostatních případech je to vir (nemusí být v process exploreru navěšený na WINLOGON.EXE, stačí když běží jako služba a přes winlogon posílá requesty).

PS. kdybys řešil serverovou podporu tak možná s tebou MS pořeší memory dump, ale desktop support se na tebe vyflákne...