Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   [решено] Процесс services.exe периодически нагружает систему на 100% (http://forum.oszone.net/showthread.php?t=104027)

[mzd] 31-03-2008 17:36 771702
[решено] Процесс services.exe периодически нагружает систему на 100%
 
Собственно, сабж. Система - XP SP2 с последними заплатками. На наличие трояна в системе гонял TrojanHunter - все чисто. Машины в домене, домен защищен KAV, на машинах отключены все дисководы/USB. Таким образом, подозрения на вирус отметаются напрочь. Вопрос: в чем дело? Как с этим бороться?

Petya V4sechkin 31-03-2008 20:33 771842
[mzd], а можно поймать этот момент и запустить батник?
KrView, оттуда извлекаешь Kernrate_i386_XP.exe. Запускать в командной строке с параметрами -t -n services.exe (только на время тормоза).

[mzd] 31-03-2008 21:37 771883
Спасибо, попробую.

[mzd] 01-04-2008 10:36 772193
Вот лог Kernrate_i386_XP.exe:
читать дальше »

===> Found process: services.exe, Pid: 668





PID = 668: Source= Time,

Using Kernrate Default Rate of 25000 events/hit

/==============================\

< KERNRATE LOG >

\==============================/

Date: 2008/04/01 Time: 9:56:20

Machine Name: COMP501

Number of Processors: 1

PROCESSOR_ARCHITECTURE: x86

PROCESSOR_LEVEL: 15

PROCESSOR_REVISION: 0209

Physical Memory: 247 MB

Pagefile Total: 745 MB

Virtual Total: 2047 MB

PageFile1: \??\C:\pagefile.sys, 512MB

OS Version: 5.1 Build 2600 Service-Pack: 2.0

WinDir: C:\WINDOWS



Kernrate User-Specified Command Line:

Kernrate_i386_XP.exe -t -n services.exe



Starting to collect profile data



***> Press ctrl-c to finish collecting profile data

===> Finished Collecting Data, Starting to Process Results



------------Overall Summary:--------------



P0 K 0:00:00.906 (90.6%) U 0:00:00.093 ( 9.4%) I 0:00:00.000 ( 0.0%) DPC

0:00:00.031 ( 3.1%) Interrupt 0:00:00.000 ( 0.0%)

Interrupts= 1031, Interrupt Rate= 1031/sec.





Total Profile Time = 1000 msec



BytesStart BytesStop By

esDiff.

Available Physical Memory , 116383744, 116080640, -30

104

Available Pagefile(s) , 659750912, 659492864, -25

048

Available Virtual , 2131632128, 2131632128,

0

Available Extended Virtual , 0, 0,

0



Total Avg. Rate

Context Switches , 874, 874/sec.

System Calls , 160276, 160276/sec.

Page Faults , 531, 531/sec.

I/O Read Operations , 6, 6/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 101, 101/sec.

I/O Read Bytes , 72, 12/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 2304, 23/ I/O



--- Process List and Summary At The End of Data Collection ---



Found 22 processes at the start point, 22 processes at the stop point

Percentage in the following table is based on the Elapsed Time



ProcessID, Process Name, Kernel Time, User-Mode Time,

Idle Time



0, System Idle Process, 0.00%, 0.00%,

~ 0.00%

4, System, 1.56%, 0.00%

528, smss.exe, 0.00%, 0.00%

600, csrss.exe, 0.00%, 0.00%

624, winlogon.exe, 0.00%, 0.00%

668, services.exe, 1.56%, 0.00%

684, lsass.exe, 0.00%, 0.00%

848, svchost.exe, 0.00%, 0.00%

916, svchost.exe, 0.00%, 0.00%

1008, svchost.exe, 78.13%, 9.38%

1052, svchost.exe, 0.00%, 0.00%

1092, svchost.exe, 0.00%, 0.00%

1412, MDM.EXE, 0.00%, 0.00%

1296, explorer.exe, 0.00%, 0.00%

1648, msiexec.exe, 0.00%, 0.00%

220, hkcmd.exe, 0.00%, 0.00%

2020, ctfmon.exe, 0.00%, 0.00%

1532, cmd.exe, 0.00%, 0.00%

1516, wuauclt.exe, 0.00%, 0.00%

1320, wmiprvse.exe, 0.00%, 0.00%

1832, procexp.exe, 6.25%, 0.00%

168, Kernrate_i386_XP.exe, 0.00%, 0.00%



----------------------------------------------------------------



Results for User Mode Process SERVICES.EXE (PID = 668)



User Time = 0.00% of the Elapsed Time

Kernel Time = 1.56% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 19, 19,

0

Handles , 302, 302,

0

Working Set Bytes , 7487488, 7487488,

0

Virtual Size Bytes , 50946048, 50946048,

0

Paged Pool Bytes , 44936, 44936,

0

Non Paged Pool Bytes , 8200, 8200,

0

Pagefile Bytes , 4517888, 4517888,

0

Private Pages Bytes , 4517888, 4517888,

0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 32

Percentage in the following table is based on the Total Hits for this Process



Time 1 hits, 25000 events per hit --------

Module Hits msec %Total Events/Sec

ntdll 1 1000 100 % 25000



================================= END OF RUN ==================================

============================== NORMAL END OF RUN ==============================

В принципе, в ProcessExplorer отображается то же самое: сначала процесс svchost загружает систему до 96%, а затем services делает аналогичное. Какие будут предложения, потому как я что только уже не испробовал.

Petya V4sechkin 01-04-2008 11:40 772246
[mzd], а что сразу не сказал про svchost.exe?
Тогда надо было опции -t -n services.exe -n svchost.exe использовать.

Или в Process Explorer на том svchost, который грузит систему, правой кнопкой мыши -> Properties -> вкладки Services (список служб) и Threads. На вкладке Threads по каждому потоку статистика Kernel Time и User Time (другое дело, что эта статистика ведется со старта системы, а Kernrate засекает только на промежуток времени). На вкладке Services можешь останавливать службы, пока тормоз не исчезнет.

[mzd] 01-04-2008 12:34 772288
Теперь вот что выдает:
читать дальше »

===> Found process: services.exe, Pid: 668
===> Found process: svchost.exe, Pid: 848
===> Found process: svchost.exe, Pid: 916
===> Found process: svchost.exe, Pid: 1012
===> Found process: svchost.exe, Pid: 1056
===> Found process: svchost.exe, Pid: 1108

PID = 1108: Source= Time,

Using Kernrate Default Rate of 25000 events/hit



PID = 1056: Source= Time,

Using Kernrate Default Rate of 25000 events/hit



PID = 1012: Source= Time,

Using Kernrate Default Rate of 25000 events/hit



PID = 916: Source= Time,

Using Kernrate Default Rate of 25000 events/hit



PID = 848: Source= Time,

Using Kernrate Default Rate of 25000 events/hit



PID = 668: Source= Time,

Using Kernrate Default Rate of 25000 events/hit

/==============================\

< KERNRATE LOG >

\==============================/

Date: 2008/04/01 Time: 12:21:04

Machine Name: COMP515

Number of Processors: 1

PROCESSOR_ARCHITECTURE: x86

PROCESSOR_LEVEL: 15

PROCESSOR_REVISION: 0209

Physical Memory: 247 MB

Pagefile Total: 745 MB

Virtual Total: 2047 MB

PageFile1: \??\C:\pagefile.sys, 512MB

OS Version: 5.1 Build 2600 Service-Pack: 2.0

WinDir: C:\WINDOWS



Kernrate User-Specified Command Line:

Kernrate_i386_XP.exe -t -n services.exe -n svchost.exe





------------Overall Summary:--------------



P0 K 0:00:01.656 (89.1%) U 0:00:00.203 (10.9%) I 0:00:00.000 ( 0.0%) DPC 0:00:00.031 ( 1.7%) Interrupt 0:00:00.000 ( 0.0%)

Interrupts= 1520, Interrupt Rate= 817/sec.





Total Profile Time = 1859 msec



BytesStart BytesStop BytesDiff.

Available Physical Memory , 105181184, 103989248, -1191936

Available Pagefile(s) , 647688192, 647114752, -573440

Available Virtual , 2131632128, 2131632128, 0

Available Extended Virtual , 0, 0, 0



Total Avg. Rate

Context Switches , 1334, 717/sec.

System Calls , 258009, 138761/sec.

Page Faults , 744, 400/sec.

I/O Read Operations , 31, 17/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 125, 67/sec.

I/O Read Bytes , 372, 12/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 2968, 24/ I/O



--- Process List and Summary At The End of Data Collection ---



Found 20 processes at the start point, 20 processes at the stop point

Percentage in the following table is based on the Elapsed Time



ProcessID, Process Name, Kernel Time, User-Mode Time, Idle Time



0, System Idle Process, 0.00%, 0.00%, ~ 0.00%

4, System, 0.00%, 0.00%

536, smss.exe, 0.00%, 0.00%

600, csrss.exe, 0.00%, 0.00%

624, winlogon.exe, 0.00%, 0.00%

668, services.exe, 1.68%, 0.00%

684, lsass.exe, 0.00%, 0.00%

848, svchost.exe, 0.00%, 0.00%

916, svchost.exe, 0.00%, 0.00%

1012, svchost.exe, 82.35%, 9.24%

1056, svchost.exe, 0.00%, 0.00%

1108, svchost.exe, 0.00%, 0.00%

1404, MDM.EXE, 0.00%, 0.00%

588, explorer.exe, 0.00%, 0.00%

1504, msiexec.exe, 0.00%, 0.00%

1916, hkcmd.exe, 0.00%, 0.00%

1928, ctfmon.exe, 0.00%, 0.00%

1096, procexp.exe, 3.36%, 1.68%

1296, cmd.exe, 0.00%, 0.00%

1604, Kernrate_i386_XP.exe, 0.00%, 0.00%



----------------------------------------------------------------



Results for User Mode Process SVCHOST.EXE (PID = 1108)



User Time = 0.00% of the Elapsed Time

Kernel Time = 0.00% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 13, 13, 0

Handles , 164, 164, 0

Working Set Bytes , 4022272, 4022272, 0

Virtual Size Bytes , 35794944, 35794944, 0

Paged Pool Bytes , 37528, 37528, 0

Non Paged Pool Bytes , 5952, 5952, 0

Pagefile Bytes , 1560576, 1560576, 0

Private Pages Bytes , 1560576, 1560576, 0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 40

Percentage in the following table is based on the Total Hits for this Process



Time - No Hits Recorded





----------------------------------------------------------------



Results for User Mode Process SVCHOST.EXE (PID = 1056)



User Time = 0.00% of the Elapsed Time

Kernel Time = 0.00% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 6, 6, 0

Handles , 80, 80, 0

Working Set Bytes , 3276800, 3276800, 0

Virtual Size Bytes , 30187520, 30187520, 0

Paged Pool Bytes , 30604, 30604, 0

Non Paged Pool Bytes , 3608, 3608, 0

Pagefile Bytes , 1216512, 1216512, 0

Private Pages Bytes , 1216512, 1216512, 0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 30

Percentage in the following table is based on the Total Hits for this Process



Time - No Hits Recorded





----------------------------------------------------------------



Results for User Mode Process SVCHOST.EXE (PID = 1012)



User Time = 9.24% of the Elapsed Time

Kernel Time = 82.35% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 51, 51, 0

Handles , 1055, 1055, 0

Working Set Bytes , 22360064, 22360064, 0

Virtual Size Bytes , 99487744, 99487744, 0

Paged Pool Bytes , 90660, 90660, 0

Non Paged Pool Bytes , 22592, 22592, 0

Pagefile Bytes , 14843904, 14843904, 0

Private Pages Bytes , 14843904, 14843904, 0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 129

Percentage in the following table is based on the Total Hits for this Process



Time 81 hits, 25000 events per hit --------

Module Hits msec %Total Events/Sec

ntdll 69 1844 85 % 935466

mswsock 12 1844 14 % 162689





----------------------------------------------------------------



Results for User Mode Process SVCHOST.EXE (PID = 916)



User Time = 0.00% of the Elapsed Time

Kernel Time = 0.00% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 10, 10, 0

Handles , 227, 227, 0

Working Set Bytes , 4116480, 4116480, 0

Virtual Size Bytes , 35282944, 35282944, 0

Paged Pool Bytes , 38796, 38796, 0

Non Paged Pool Bytes , 14368, 14368, 0

Pagefile Bytes , 1691648, 1691648, 0

Private Pages Bytes , 1691648, 1691648, 0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 38

Percentage in the following table is based on the Total Hits for this Process



Time - No Hits Recorded





----------------------------------------------------------------



Results for User Mode Process SVCHOST.EXE (PID = 848)



User Time = 0.00% of the Elapsed Time

Kernel Time = 0.00% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 18, 18, 0

Handles , 199, 199, 0

Working Set Bytes , 4849664, 4849664, 0

Virtual Size Bytes , 62177280, 62177280, 0

Paged Pool Bytes , 65048, 65048, 0

Non Paged Pool Bytes , 47664, 47664, 0

Pagefile Bytes , 3035136, 3035136, 0

Private Pages Bytes , 3035136, 3035136, 0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 48

Percentage in the following table is based on the Total Hits for this Process



Time - No Hits Recorded





----------------------------------------------------------------



Results for User Mode Process SERVICES.EXE (PID = 668)



User Time = 0.00% of the Elapsed Time

Kernel Time = 1.68% of the Elapsed Time



Total Avg. Rate

Page Faults , 0, 0/sec.

I/O Read Operations , 0, 0/sec.

I/O Write Operations , 0, 0/sec.

I/O Other Operations , 0, 0/sec.

I/O Read Bytes , 0, 0/ I/O

I/O Write Bytes , 0, 0/ I/O

I/O Other Bytes , 0, 0/ I/O



Start-Count Stop-Count Diff.

Threads , 19, 19, 0

Handles , 302, 302, 0

Working Set Bytes , 7499776, 7499776, 0

Virtual Size Bytes , 51802112, 51802112, 0

Paged Pool Bytes , 45768, 45768, 0

Non Paged Pool Bytes , 8240, 8240, 0

Pagefile Bytes , 4517888, 4517888, 0

Private Pages Bytes , 4517888, 4517888, 0

------------------------------------------------------------------



OutputResults: ProcessModuleCount (Including Managed-Code JITs) = 32

Percentage in the following table is based on the Total Hits for this Process



Time 2 hits, 25000 events per hit --------

Module Hits msec %Total Events/Sec

ntdll 1 1844 50 % 13557

services 1 1844 50 % 13557



================================= END OF RUN ==================================


В ProcessExporer в момент всплеска загрузки наибольшую активность проявляют потоки
RPCRT4.dll!l_RpcBCacheFree+0x5ea - services.exe
kernel32.dll!CreateThread+0x22 - svchost.exe

Petya V4sechkin 01-04-2008 13:00 772309
Цитата:
Цитата [mzd
]ntdll 69 1844 85 % 935466
mswsock 12 1844 14 % 162689
Ntdll.dll - слишком общее, ничего не могу сказать.
Mswsock.dll - непосредственно относится к службе "Служба сетевого расположения (NLA)", попробуй ее отключить для эксперимента.

Если не поможет, в Process Explorer на вкладке Services останавливать службы, пока тормоз не исчезнет.

Pili 01-04-2008 18:00 772550
[mzd], TrojanHunter не сильно полезная вещь для проверки на зловреды, KAV конечно серьезнее, но "домен защищен KAV" - это значит на каждой машине KAV или только на сервере?
В общем логи по правилам не помешают хотя бы для более полного понимания какой софт стоит на машине, можете начинать сразу со сбора логов (п.3.) и пропустить предварительную проверку антивирусами

[mzd] 01-04-2008 18:15 772561
Pili, KAV стоит на серваках и на машинах, через которые вири могут попасть во внутреннюю сеть.
ОК, сегодня уже рабочий день закончился, а завтра с этого и начну.

[mzd] 02-04-2008 11:22 773002
Вложений: 3
Логи системы.

Pili 02-04-2008 12:02 773027
Чисто. можно пофиксить в HJT
Код:
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
Цитата:
Прямое чтение C:\WINDOWS\system32\clipbrd.exe
Прямое чтение C:\WINDOWS\system32\dllcache\cacls.exe
...
Прямое чтение C:\WINDOWS\system32\dllcache\clipbrd.exe
Это скорее всего рез-т работы ntbackup.exe, который в автозагрузке
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
можно настроить безопасность и отключить не нужные службы

[mzd] 02-04-2008 13:30 773069
Вот и я про то, что чисто. Попробую пофиксить службы и отпишусь про результат.

Pili 02-04-2008 15:50 773158
[mzd], Скрипт для отключения служб можно получить сразу из логов avz_sysinfo.htm, просто потыкайте в "Дополнительные операции:"
например
Цитата:
Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)
и получите готовый скрипт
Код:
begin
SetServiceStart('RemoteRegistry', 4);
end.
Рекомендую на всякий случай ещё защититься на будущее от зловредов типа autorun, сохранить как reg файл и применить
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

MKtiger 03-04-2008 19:09 773963
Машина в домене и везде брендмауэр касперского?
Отключить удаленный реестр?
простите...
но, так делать нельзя...
как минимум последнее...
а брендмауэеры настраивать надо...
могу поспорить, что в процессе работы компы не только подтормаживают, но и есть проблемы с аутентификацией в домене между серверами и компами, а также работой в сети....

[mzd], Попробуйте пойти от обратного, отключить КАВ.

Pili 03-04-2008 20:53 774020
MKtiger, нет там касперского, и вообще нет ни одного антивируса (кроме AVZ, но это не монитор), смотрите логи, прежде чем советовать.
Кто вам сказал, что удаленный реестр отключать нельзя? Его рекомендуется отключать, наряду с другими неиспользуемыми службами.

MKtiger 04-04-2008 12:22 774424
Цитата:
Цитата Pili
нет там касперского »
Pili, хорошо, расшифруйте тогда вот это сообщение -
Цитата:
Цитата [mzd
]домен защищен KAV »
То, что AVZ не монитор - известно большинству...

Цитата:
Цитата Pili
Кто вам сказал, что удаленный реестр отключать нельзя? Его рекомендуется отключать, наряду с другими неиспользуемыми службами. »
Для домашнего компьютера - да, естественно, всенепременно - отключать, но для организаций, особенно, если необходимо администрирование большого количества машин, такое действие чревато, как минимум админу придётся поработать ногами...

[mzd] 04-04-2008 12:53 774441
MKtiger, брандмауэра нет. Домен защищен KAV - антивирус стоит на серваках, на оконечных станциях лаборантов, у которых есть доступ к USB, FDD, CD-ROM. На самих рабочих станциях отключены все внешние носители (USB, FDD, CD-ROM у них нет физически).

Проблема оказалась в доменной политике, накладываемой на рабочие станции. Переписали политику - проблема исчезла. Честно говоря, так до конца и не поняли что именно явилось причиной, но факт остается фактом - заново написанная политика помогла.

MKtiger 04-04-2008 13:32 774474
Ээээ...
Можно, конечно задать вопрос, а что собственно изменили в политике?
Но, рад услышать, что помогло...
А вообще в связи с политиками есть очень много всяких интересных заморочек...

[mzd] 04-04-2008 13:49 774491
MKtiger, да ничего существенного, все, что было в старой просто перенесли в новую.

Pili 04-04-2008 15:52 774605
Цитата:
Цитата MKtiger
если необходимо администрирование большого количества машин »
Служба "Удаленный реестр" с режиме старта "авто" для этого совершенно не требуется, когда надо, её можно запустить групп. политикой.

Dzon 31-03-2010 15:38 1381589
Процесс services.exe съедает 100% CPU
 
Процесс services.exe загружает 100% CPU посмотрел с помощью Process Explorer каке Threads занимают процессорное время оказалось что примерно в равной доли грузят около десятка TID kernel32.dll!CreateThread+0x22 обиваю все кроме одного и он грузит ЦП на 50% и через некоторое время они снова появляются в прежнем количестве и загрузка возрастает до 100. Думал остановлю Services и посмотрю что там грузит но там только EvenLog и PlugPlay.
Что можно предпринять в такой ситуации?

LebedevNO 31-03-2010 16:01 1381611
А у меня процесс System загружает CPU на 100% (плавает до 100%, хотя в данный момент никакие программы не запущены) . А ещё Бездействие системы загружает ЦП на 100% (и ничего нельзя запустить, хотя этот процесс наоборот должен разгружать ЦП) .

Dzon 01-04-2010 16:22 1382559
Цитата:
Цитата Dzon
Процесс services.exe загружает 100% CPU посмотрел с помощью Process Explorer каке Threads занимают процессорное время оказалось что примерно в равной доли грузят около десятка TID kernel32.dll!CreateThread+0x22 обиваю все кроме одного и он грузит ЦП на 50% и через некоторое время они снова появляются в прежнем количестве и загрузка возрастает до 100. Думал остановлю Services и посмотрю что там грузит но там только EvenLog и PlugPlay.
Что можно предпринять в такой ситуации? »
По одключал все службы потом начал запускать по одной и выяснил что виновата служба PlugPlay, после ее включение загрузка ЦП возрастает до 100% Вопрос следующий что можно сделать с PlugPlay что бы она нормально работала?

commanderz 29-11-2010 16:21 1554228
у меня такая же проблема, процесс Services.EXE периодически подгружает систему (одно ядро на 100%), в результате все процессы у всех пользователей подвисают на короткое но до боли не приятное время с постоянной периодичностью.
Если открыть процесс Services.EXE с помощью sysinternals Process Explorer и перейти в закладку Threads - то можно увидеть в момент подвисона какой треад грузит систему (например у меня 16 ядер - то видно что треад зажирает 6.25%, то-есть одну шестнадцатую часть, то-есть одно ядро на 100%, например если у вас 2 ядра то он будет жрать 50%) - общим я его нашёл и просто выделил и нажал кнопочку suspend до тех пор пока она перестала называться suspend и стала называться resume.

p.s. Это временное решение, так как через несколько недель процесс Services.EXE опять начал показывать свой нрав, пришлось снять статус suspend из предыдущего треада и засуспендить новый треад.

p.s.s. операционная система Windows Server 2003 r2 x64, сервер HP Proliant DL160
Читал форумы, люди советовали скачать свежие драйвера, обновить прошивки устройств... вроде бы обновил много чего, но не помогло... может быть попробую ещё разочек потом обновиться... щас пока проблема ушла из разряда критичной, читаю форумы, и думаю.

Мишаня-1 28-08-2012 03:13 1978262
Вложений: 1
Присоединюсь к друзьям,у меня немного другая проблема,но по сути тоже грузящая проц на 50-100% Думаю вам без труда станет понятна моя проблема.Ставлю модем Билайновский,всё нормально ,проц не грузится,services.exe c нулевым значением,но из за слабой скорости предпочитаю Мегафоновский,и тут начинаются сюрпризы,проц скачет 50-100% не переставая...я понимаю модем бы грузил процентов 20-30,но грузит services.exe,которое на другом модеме даже не вздрагивает...вот хочу поинтересоваться,можно ли как то отключить это грузило? Ещё до кучи,должен ли конвертер при кодировании видео быть постоянно 97-100% и не грозит ли данная нагрузка при данной операции компу.Параметры процессов скачут,вот выхватил както так:

Petya V4sechkin 28-08-2012 06:34 1978276
Цитата:
Цитата Мишаня-1
грузит services.exe
Правой кнопкой мыши -> Properties -> вкладка Threads -> сортировка по столбцу CPU -> выложите скриншот.
Выделите поток, грузящий процессор -> нажмите кнопку Stack -> выложите скриншот.

Непосредственно в процессе Services.exe выполняются две службы:
  • Plug and Play
  • Журнал событий
Если проблема в Plug and Play, это может быть из-за некорректного подключения устройства (в вашем случае USB-модема). Попробуйте вставить в другой USB-порт. Только не USB 3.0 (бывают конфликты).

Мишаня-1 28-08-2012 19:47 1978706
Спасибо Вам,постараюсь сделать всё как написано,если что то не так,прошу прощения,я ещё не очень разбираюсь в этих примочках...спасибо!

iamgdv 26-04-2013 16:12 2140041
не стал создавать новую тему - такая же проблема на ноуте. winxp sp3. стоит "тронуть" проводник, и services.exe грузит проц почти на 100%. что тока не делал: посносил все лишнее, убрал лишние устройства, вернул некоторые старые драйвера, выставил все службы по дефолту - ничего не помогает. восстановиться к предыдущим состояниям возможности нет. на зловреды прогнал разными прогами неоднократно.
отключение автозапуска и служб при загрузке наводит на мысль, что глючит служба plug and play, но как с этим бороться?
прикладываю скрин со свойствами процесса из process hacker.

Petya V4sechkin 26-04-2013 16:26 2140050
iamgdv, выполните эти инструкции.
Затем эти.

iamgdv 26-04-2013 16:55 2140073
спс за оперативность! выкладываю.
http://www.ex.ua/view_storage/333802271984

Petya V4sechkin 26-04-2013 16:59 2140079
iamgdv, еще раз, внимательно:

Цитата:
Цитата Petya V4sechkin
выделите поток, грузящий процессор -> нажмите кнопку Stack -> выложите скриншот
Цитата:
Цитата Petya V4sechkin
выложите лог Process Monitor при высокой загрузке services.exe (меню File -> Save -> PML-формат) в архиве на любой файлообменник

iamgdv 26-04-2013 17:32 2140094
не пойму, что не так?

Petya V4sechkin 26-04-2013 18:59 2140139
iamgdv, в логе видны циклические действия: процессы E:\programs\Sticky Password\stpass.exe и services.exe обращаются к разделу реестра
HKLM\SYSTEM\CurrentControlSet\Control\DeviceClasses\{0850302a-b344-4fda-9be9-90576b8d46f0}

Проблема может быть в Sticky Password (попробуйте удалить) или в устройствах/драйверах Bluetooth (если подключены).

iamgdv 27-04-2013 15:53 2140478
Petya V4sechkin, удаление Sticky Password вообще ничего не дало... Bluetooth удалил полностью, стало лучше, но все равно пики до 90% доходят, теперь только services.exe грузит с-му не постоянно, как было, а как в сабже - периодически

Petya V4sechkin 27-04-2013 17:08 2140513
Цитата:
Цитата iamgdv
Bluetooth удалил полностью
У вас интегрированный или USB-брелок?
USB отключите.

Наблюдается ли проблема в безопасном режиме?
Если нет, с помощью Msconfig отключите сторонние (не Microsoft) программы и службы из автозагрузки.

Выложите \Windows\setupapi.log в архиве.
А также сделайте логи RSIT.

iamgdv 29-04-2013 13:04 2141608
Цитата Petya V4sechkin:
У вас интегрированный или USB-брелок?
USB отключите. »
-- отключил юсб

Цитата Petya V4sechkin:
Наблюдается ли проблема в безопасном режиме? »
нет, и мои эксперименты говорят о проблеме, по-видимому, в plug&play

RSIT почему-то перестал создавать info.txt, хотя раньше он создавался, поэтому выкладываю старый

все файлы здесь: http://www.ex.ua/view_storage/307807580997

сейчас стало невозможно выйти из ждущего режима( что-то надоедает мне бороться, это - ноут, программ стоит не много, видимо буду переустанавливать с-му.....

Petya V4sechkin 30-04-2013 10:24 2142138
iamgdv, попробуйте твик реестра
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BtHidBus]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BthEnum]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHUSB]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btnetBUs]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IvtBtBUs]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RFCOMM]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BthServ]
"Start"=dword:00000004

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"=-
и перезагрузитесь.

iamgdv 06-05-2013 17:00 2145401
Petya V4sechkin, не помогло(( переустановил с-му

Maza11 16-06-2015 18:31 2519214
жалобы, процесс services.exe грузит комп на 30% и при этом жутко тормозит интернет
что пытался сделать: остановил и отключил службу Обьновлений виндовс, результат - никакой, после перезагрузки все равно грузит комп и интернет очень медленно работает

вот скрин Threads -> Stack
из проги ProcessExplorer
скрин

Petya V4sechkin 16-06-2015 18:34 2519216
Maza11, наблюдается ли проблема в безопасном режиме?

commanderz 17-06-2015 03:09 2519325
Maza11, дорогой, посмотрите вкладочку Services/службы, и определите какая из служб (а они запускаются в контексте этого процесса)грузит процессор.
Не стоит благодарности :)

Maza11 17-06-2015 08:47 2519360
виновник был utorrent оказывается

Maza11 16-11-2015 14:43 2575356
проблема осталась, накатил все обновления из live пака
commanderz, на вкладке службы написано что plug n play использует этот процесс и журнал событий, остановить эти службы не могу не активные кнопки
в безопасном режиме проблема не аблюдается

Petya V4sechkin 16-11-2015 18:21 2575432
Цитата:
Цитата Maza11
в безопасном режиме проблема не аблюдается
Как определить, является проблема системной или вызвана сторонним приложением/службой

len_kzn 06-07-2018 17:53 2820871
Svhost.exe грузит проц.
Что странно еще аваст подгружает (в настройках я его порезал, оставил только файловый мониторинг)
Мегафон модем тоже грузит проц, сама программа (комп получает инет от него). Подключен черех юсб хаб из за нехватки юсб
Еще грузит проц прожка для обмена файлами через инет.(отключал ее,толку нет)
Службы обновления отключена.
Модем перетыкал в другой юсб и напрямую к компу все тоже самое.
Запускал быстрый поиск вирусов, отчет вышел по нулям

Petya V4sechkin 06-07-2018 18:47 2820876
Цитата:
Цитата len_kzn
Svhost.exe грузит проц.
Svhost.exe или Svchost.exe?

len_kzn 09-07-2018 14:20 2821157
Вложений: 1
Цитата:
Цитата Petya V4sechkin
Svhost.exe или Svchost.exe? »
Svchost.exe
в данный момент скриншота мало есть, обычно под 48%
BTSync в проге уверен, стоит у 20 машин и толькой на этой грузит

Petya V4sechkin 09-07-2018 19:06 2821196
len_kzn, у вас Windows 7, что ли?

Запустите Process Explorer от имени Администратора -> там на проблемном процессе правой кнопкой мыши -> Properties -> вкладка Threads -> сортировка по столбцу CPU -> покажите скриншот.
Далее выделите поток, грузящий процессор -> нажмите кнопку Stack -> покажите скриншот.

len_kzn 10-07-2018 10:18 2821261
Вложений: 1
Цитата:
Цитата Petya V4sechkin
у вас Windows 7, что ли? »
да вин 7 32бит

Цитата:
Цитата Petya V4sechkin
Properties -> вкладка Threads -> сортировка по столбцу CPU -> покажите скриншот. »
прилагаю скрин "потоки".

Цитата:
Цитата Petya V4sechkin
Далее выделите поток, грузящий процессор -> нажмите кнопку Stack -> покажите скриншот. »
ntkrnlpa.exe!KeSetEvent+0x2a1
ntkrnlpa.exe!KeDelayExecutionThread+0x5cc
ntkrnlpa.exe!KeWaitForMutexObject+0x393
ntkrnlpa.exe!KeQueryHighestNodeNumber+0x9fe
halmacpi.dll!KfRaiseIrql+0xcb
halmacpi.dll!KeRaiseIrqlToSynchLevel+0x8f
halmacpi.dll!KfLowerIrql+0x61
halmacpi.dll!KfReleaseSpinLock+0xb
ntkrnlpa.exe!IofCallDriver+0x64
ntkrnlpa.exe!RtlRandomEx+0x1340
ntkrnlpa.exe!RtlDowncaseUnicodeString+0x1e17
ntkrnlpa.exe!NtDeviceIoControlFile+0x2a
ntkrnlpa.exe!ZwYieldExecution+0xb56
ntdll.dll!KiFastSystemCallRet
NSI.dll!NsiGetAllParametersEx+0x23
dhcpcsvc.DLL!DhcpIsEnabled+0x15c
IPHLPAPI.DLL!ConvertInterfaceLuidToNameW+0xb92
IPHLPAPI.DLL!ConvertInterfaceLuidToNameW+0xac7
IPHLPAPI.DLL!GetAdaptersAddresses+0x3c
tcpipcfg.dll!DllUnregisterServer+0x7446
tcpipcfg.dll!DllUnregisterServer+0x7660
tcpipcfg.dll!DllUnregisterServer+0x7bb1
tcpipcfg.dll!DllUnregisterServer+0x7c7f
netcfgx.dll!DllGetClassObject+0xc306
netcfgx.dll!DllGetClassObject+0xd3a3
netcfgx.dll!DllGetClassObject+0xd7c6
netcfgx.dll!DllGetClassObject+0x13aa
netcfgx.dll!LanaCfgFromCommandArgs+0xa9d4
iphlpsvc.dll!IphlpsvcSysprepGeneralize+0x2cbc8
iphlpsvc.dll!IphlpsvcSysprepGeneralize+0x30d6
iphlpsvc.dll!SvchostPushServiceGlobals+0x4fbd
iphlpsvc.dll!SvchostPushServiceGlobals+0x5785
iphlpsvc.dll+0x2756
iphlpsvc.dll+0x2640
iphlpsvc.dll+0x2219
WINNSI.DLL+0x1afb
ntdll.dll!RtlRegisterThreadWithCsrss+0x70d
ntdll.dll!RtlIsCriticalSectionLockedByThread+0xf00
ntdll.dll!RtlIsCriticalSectionLockedByThread+0x474
kernel32.dll!BaseThreadInitThunk+0x12
ntdll.dll!RtlInitializeExceptionChain+0x63
ntdll.dll!RtlInitializeExceptionChain+0x36


хотел в свойствах сетевой карты отключить ipv6 выдал сообщение
хотя ни чего подобного не открыто

Petya V4sechkin 10-07-2018 11:04 2821270
len_kzn, как видите, грузит служба iphlpsvc - "Вспомогательная служба IP" (IP Helper).

Приведите результат выполнения в командной строке (cmd.exe)
Код:
ipconfig /all
VMware не установлена, случайно? Бывает из-за виртуального сетевого адаптера.

Служба связана с IPv6:
Цитата:
The IP Helper (IpHlpSvc) service Provides tunnel connectivity using IPv6 transition technologies (6to4, ISATAP, Port Proxy, and Teredo), and IP-HTTPS.
Если не используете этот функционал, можете отключить службу.

len_kzn 10-07-2018 11:13 2821275
один в один у меня 1000 адаптеров )
http://forum.oszone.net/post-1607892-38.html

спасибо за наводку по iphlpsvc. не как не мог зацепится.
сейчас погуглю как решить

Petya V4sechkin 10-07-2018 11:15 2821277
len_kzn, лишние 6to4 адаптеры создаются из-за бага в операционной системе, описанного в статье KB980486.

Для удаления можете воспользоваться
MS6to4Remover - Утилита удаления адаптеров 6to4 и исправление


Время: 19:18.

Время: 19:18.
© OSzone.net 2001-