segmentação por dedo não é um bom sinal. Eu pelo menos faria uma verificação superficial para arrombar; pelo menos executar chkrootkit e debsums por exemplo. Segundo, você já tentou limpar o utmp inteiramente por rm ou echo -n > utmp? Pode ser corrompido de alguma maneira sutil.
Por fim, você fez alguma coisa com sua configuração do PAM em /etc/pam.d? Isso pode facilmente fazer com que os logouts não sejam gravados.