[решено] Процесс services.exe периодически нагружает систему на 100%
Собственно, сабж. Система - XP SP2 с последними заплатками. На наличие трояна в системе гонял TrojanHunter - все чисто. Машины в домене, домен защищен KAV, на машинах отключены все дисководы/USB. Таким образом, подозрения на вирус отметаются напрочь. Вопрос: в чем дело? Как с этим бороться?
|
[mzd], а можно поймать этот момент и запустить батник?
KrView, оттуда извлекаешь Kernrate_i386_XP.exe. Запускать в командной строке с параметрами -t -n services.exe (только на время тормоза). |
Спасибо, попробую.
|
Вот лог Kernrate_i386_XP.exe:
В принципе, в ProcessExplorer отображается то же самое: сначала процесс svchost загружает систему до 96%, а затем services делает аналогичное. Какие будут предложения, потому как я что только уже не испробовал. |
[mzd], а что сразу не сказал про svchost.exe?
Тогда надо было опции -t -n services.exe -n svchost.exe использовать. Или в Process Explorer на том svchost, который грузит систему, правой кнопкой мыши -> Properties -> вкладки Services (список служб) и Threads. На вкладке Threads по каждому потоку статистика Kernel Time и User Time (другое дело, что эта статистика ведется со старта системы, а Kernrate засекает только на промежуток времени). На вкладке Services можешь останавливать службы, пока тормоз не исчезнет. |
Теперь вот что выдает:
В ProcessExporer в момент всплеска загрузки наибольшую активность проявляют потоки RPCRT4.dll!l_RpcBCacheFree+0x5ea - services.exe kernel32.dll!CreateThread+0x22 - svchost.exe |
Цитата:
Mswsock.dll - непосредственно относится к службе "Служба сетевого расположения (NLA)", попробуй ее отключить для эксперимента. Если не поможет, в Process Explorer на вкладке Services останавливать службы, пока тормоз не исчезнет. |
[mzd], TrojanHunter не сильно полезная вещь для проверки на зловреды, KAV конечно серьезнее, но "домен защищен KAV" - это значит на каждой машине KAV или только на сервере?
В общем логи по правилам не помешают хотя бы для более полного понимания какой софт стоит на машине, можете начинать сразу со сбора логов (п.3.) и пропустить предварительную проверку антивирусами |
Pili, KAV стоит на серваках и на машинах, через которые вири могут попасть во внутреннюю сеть.
ОК, сегодня уже рабочий день закончился, а завтра с этого и начну. |
Вложений: 3
Логи системы.
|
Чисто. можно пофиксить в HJT
Код:
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) Цитата:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) |
Вот и я про то, что чисто. Попробую пофиксить службы и отпишусь про результат.
|
[mzd], Скрипт для отключения служб можно получить сразу из логов avz_sysinfo.htm, просто потыкайте в "Дополнительные операции:"
например Цитата:
Код:
begin Код:
Windows Registry Editor Version 5.00 |
Машина в домене и везде брендмауэр касперского?
Отключить удаленный реестр? простите... но, так делать нельзя... как минимум последнее... а брендмауэеры настраивать надо... могу поспорить, что в процессе работы компы не только подтормаживают, но и есть проблемы с аутентификацией в домене между серверами и компами, а также работой в сети.... [mzd], Попробуйте пойти от обратного, отключить КАВ. |
MKtiger, нет там касперского, и вообще нет ни одного антивируса (кроме AVZ, но это не монитор), смотрите логи, прежде чем советовать.
Кто вам сказал, что удаленный реестр отключать нельзя? Его рекомендуется отключать, наряду с другими неиспользуемыми службами. |
Цитата:
Цитата:
Цитата:
|
MKtiger, брандмауэра нет. Домен защищен KAV - антивирус стоит на серваках, на оконечных станциях лаборантов, у которых есть доступ к USB, FDD, CD-ROM. На самих рабочих станциях отключены все внешние носители (USB, FDD, CD-ROM у них нет физически).
Проблема оказалась в доменной политике, накладываемой на рабочие станции. Переписали политику - проблема исчезла. Честно говоря, так до конца и не поняли что именно явилось причиной, но факт остается фактом - заново написанная политика помогла. |
Ээээ...
Можно, конечно задать вопрос, а что собственно изменили в политике? Но, рад услышать, что помогло... А вообще в связи с политиками есть очень много всяких интересных заморочек... |
MKtiger, да ничего существенного, все, что было в старой просто перенесли в новую.
|
Цитата:
|
Процесс services.exe съедает 100% CPU
Процесс services.exe загружает 100% CPU посмотрел с помощью Process Explorer каке Threads занимают процессорное время оказалось что примерно в равной доли грузят около десятка TID kernel32.dll!CreateThread+0x22 обиваю все кроме одного и он грузит ЦП на 50% и через некоторое время они снова появляются в прежнем количестве и загрузка возрастает до 100. Думал остановлю Services и посмотрю что там грузит но там только EvenLog и PlugPlay.
Что можно предпринять в такой ситуации? |
А у меня процесс System загружает CPU на 100% (плавает до 100%, хотя в данный момент никакие программы не запущены) . А ещё Бездействие системы загружает ЦП на 100% (и ничего нельзя запустить, хотя этот процесс наоборот должен разгружать ЦП) .
|
Цитата:
|
у меня такая же проблема, процесс Services.EXE периодически подгружает систему (одно ядро на 100%), в результате все процессы у всех пользователей подвисают на короткое но до боли не приятное время с постоянной периодичностью.
Если открыть процесс Services.EXE с помощью sysinternals Process Explorer и перейти в закладку Threads - то можно увидеть в момент подвисона какой треад грузит систему (например у меня 16 ядер - то видно что треад зажирает 6.25%, то-есть одну шестнадцатую часть, то-есть одно ядро на 100%, например если у вас 2 ядра то он будет жрать 50%) - общим я его нашёл и просто выделил и нажал кнопочку suspend до тех пор пока она перестала называться suspend и стала называться resume. p.s. Это временное решение, так как через несколько недель процесс Services.EXE опять начал показывать свой нрав, пришлось снять статус suspend из предыдущего треада и засуспендить новый треад. p.s.s. операционная система Windows Server 2003 r2 x64, сервер HP Proliant DL160 Читал форумы, люди советовали скачать свежие драйвера, обновить прошивки устройств... вроде бы обновил много чего, но не помогло... может быть попробую ещё разочек потом обновиться... щас пока проблема ушла из разряда критичной, читаю форумы, и думаю. |
Вложений: 1
Присоединюсь к друзьям,у меня немного другая проблема,но по сути тоже грузящая проц на 50-100% Думаю вам без труда станет понятна моя проблема.Ставлю модем Билайновский,всё нормально ,проц не грузится,services.exe c нулевым значением,но из за слабой скорости предпочитаю Мегафоновский,и тут начинаются сюрпризы,проц скачет 50-100% не переставая...я понимаю модем бы грузил процентов 20-30,но грузит services.exe,которое на другом модеме даже не вздрагивает...вот хочу поинтересоваться,можно ли как то отключить это грузило? Ещё до кучи,должен ли конвертер при кодировании видео быть постоянно 97-100% и не грозит ли данная нагрузка при данной операции компу.Параметры процессов скачут,вот выхватил както так:
|
Цитата:
Выделите поток, грузящий процессор -> нажмите кнопку Stack -> выложите скриншот. Непосредственно в процессе Services.exe выполняются две службы:
|
Спасибо Вам,постараюсь сделать всё как написано,если что то не так,прошу прощения,я ещё не очень разбираюсь в этих примочках...спасибо!
|
не стал создавать новую тему - такая же проблема на ноуте. winxp sp3. стоит "тронуть" проводник, и services.exe грузит проц почти на 100%. что тока не делал: посносил все лишнее, убрал лишние устройства, вернул некоторые старые драйвера, выставил все службы по дефолту - ничего не помогает. восстановиться к предыдущим состояниям возможности нет. на зловреды прогнал разными прогами неоднократно.
отключение автозапуска и служб при загрузке наводит на мысль, что глючит служба plug and play, но как с этим бороться? прикладываю скрин со свойствами процесса из process hacker. |
|
спс за оперативность! выкладываю.
http://www.ex.ua/view_storage/333802271984 |
iamgdv, еще раз, внимательно:
Цитата:
Цитата:
|
не пойму, что не так?
|
iamgdv, в логе видны циклические действия: процессы E:\programs\Sticky Password\stpass.exe и services.exe обращаются к разделу реестра
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{0850302a-b344-4fda-9be9-90576b8d46f0} Проблема может быть в Sticky Password (попробуйте удалить) или в устройствах/драйверах Bluetooth (если подключены). |
Petya V4sechkin, удаление Sticky Password вообще ничего не дало... Bluetooth удалил полностью, стало лучше, но все равно пики до 90% доходят, теперь только services.exe грузит с-му не постоянно, как было, а как в сабже - периодически
|
Цитата:
USB отключите. Наблюдается ли проблема в безопасном режиме? Если нет, с помощью Msconfig отключите сторонние (не Microsoft) программы и службы из автозагрузки. Выложите \Windows\setupapi.log в архиве. А также сделайте логи RSIT. |
Цитата Petya V4sechkin:
У вас интегрированный или USB-брелок? USB отключите. » -- отключил юсб Цитата Petya V4sechkin: Наблюдается ли проблема в безопасном режиме? » нет, и мои эксперименты говорят о проблеме, по-видимому, в plug&play RSIT почему-то перестал создавать info.txt, хотя раньше он создавался, поэтому выкладываю старый все файлы здесь: http://www.ex.ua/view_storage/307807580997 сейчас стало невозможно выйти из ждущего режима( что-то надоедает мне бороться, это - ноут, программ стоит не много, видимо буду переустанавливать с-му..... |
iamgdv, попробуйте твик реестра
Код:
Windows Registry Editor Version 5.00 |
Petya V4sechkin, не помогло(( переустановил с-му
|
жалобы, процесс services.exe грузит комп на 30% и при этом жутко тормозит интернет
что пытался сделать: остановил и отключил службу Обьновлений виндовс, результат - никакой, после перезагрузки все равно грузит комп и интернет очень медленно работает вот скрин Threads -> Stack из проги ProcessExplorer |
Maza11, наблюдается ли проблема в безопасном режиме?
|
Maza11, дорогой, посмотрите вкладочку Services/службы, и определите какая из служб (а они запускаются в контексте этого процесса)грузит процессор.
Не стоит благодарности :) |
виновник был utorrent оказывается
|
проблема осталась, накатил все обновления из live пака
commanderz, на вкладке службы написано что plug n play использует этот процесс и журнал событий, остановить эти службы не могу не активные кнопки в безопасном режиме проблема не аблюдается |
Цитата:
|
Svhost.exe грузит проц.
Что странно еще аваст подгружает (в настройках я его порезал, оставил только файловый мониторинг) Мегафон модем тоже грузит проц, сама программа (комп получает инет от него). Подключен черех юсб хаб из за нехватки юсб Еще грузит проц прожка для обмена файлами через инет.(отключал ее,толку нет) Службы обновления отключена. Модем перетыкал в другой юсб и напрямую к компу все тоже самое. Запускал быстрый поиск вирусов, отчет вышел по нулям |
Цитата:
|
Вложений: 1
Цитата:
в данный момент скриншота мало есть, обычно под 48% BTSync в проге уверен, стоит у 20 машин и толькой на этой грузит |
len_kzn, у вас Windows 7, что ли?
Запустите Process Explorer от имени Администратора -> там на проблемном процессе правой кнопкой мыши -> Properties -> вкладка Threads -> сортировка по столбцу CPU -> покажите скриншот. Далее выделите поток, грузящий процессор -> нажмите кнопку Stack -> покажите скриншот. |
Вложений: 1
Цитата:
Цитата:
Цитата:
ntkrnlpa.exe!KeDelayExecutionThread+0x5cc ntkrnlpa.exe!KeWaitForMutexObject+0x393 ntkrnlpa.exe!KeQueryHighestNodeNumber+0x9fe halmacpi.dll!KfRaiseIrql+0xcb halmacpi.dll!KeRaiseIrqlToSynchLevel+0x8f halmacpi.dll!KfLowerIrql+0x61 halmacpi.dll!KfReleaseSpinLock+0xb ntkrnlpa.exe!IofCallDriver+0x64 ntkrnlpa.exe!RtlRandomEx+0x1340 ntkrnlpa.exe!RtlDowncaseUnicodeString+0x1e17 ntkrnlpa.exe!NtDeviceIoControlFile+0x2a ntkrnlpa.exe!ZwYieldExecution+0xb56 ntdll.dll!KiFastSystemCallRet NSI.dll!NsiGetAllParametersEx+0x23 dhcpcsvc.DLL!DhcpIsEnabled+0x15c IPHLPAPI.DLL!ConvertInterfaceLuidToNameW+0xb92 IPHLPAPI.DLL!ConvertInterfaceLuidToNameW+0xac7 IPHLPAPI.DLL!GetAdaptersAddresses+0x3c tcpipcfg.dll!DllUnregisterServer+0x7446 tcpipcfg.dll!DllUnregisterServer+0x7660 tcpipcfg.dll!DllUnregisterServer+0x7bb1 tcpipcfg.dll!DllUnregisterServer+0x7c7f netcfgx.dll!DllGetClassObject+0xc306 netcfgx.dll!DllGetClassObject+0xd3a3 netcfgx.dll!DllGetClassObject+0xd7c6 netcfgx.dll!DllGetClassObject+0x13aa netcfgx.dll!LanaCfgFromCommandArgs+0xa9d4 iphlpsvc.dll!IphlpsvcSysprepGeneralize+0x2cbc8 iphlpsvc.dll!IphlpsvcSysprepGeneralize+0x30d6 iphlpsvc.dll!SvchostPushServiceGlobals+0x4fbd iphlpsvc.dll!SvchostPushServiceGlobals+0x5785 iphlpsvc.dll+0x2756 iphlpsvc.dll+0x2640 iphlpsvc.dll+0x2219 WINNSI.DLL+0x1afb ntdll.dll!RtlRegisterThreadWithCsrss+0x70d ntdll.dll!RtlIsCriticalSectionLockedByThread+0xf00 ntdll.dll!RtlIsCriticalSectionLockedByThread+0x474 kernel32.dll!BaseThreadInitThunk+0x12 ntdll.dll!RtlInitializeExceptionChain+0x63 ntdll.dll!RtlInitializeExceptionChain+0x36 хотел в свойствах сетевой карты отключить ipv6 выдал сообщение хотя ни чего подобного не открыто |
len_kzn, как видите, грузит служба iphlpsvc - "Вспомогательная служба IP" (IP Helper).
Приведите результат выполнения в командной строке (cmd.exe) Код:
ipconfig /all Служба связана с IPv6: Цитата:
|
один в один у меня 1000 адаптеров )
http://forum.oszone.net/post-1607892-38.html спасибо за наводку по iphlpsvc. не как не мог зацепится. сейчас погуглю как решить |
len_kzn, лишние 6to4 адаптеры создаются из-за бага в операционной системе, описанного в статье KB980486.
Для удаления можете воспользоваться MS6to4Remover - Утилита удаления адаптеров 6to4 и исправление |
Время: 19:18. |
Время: 19:18.
© OSzone.net 2001-