-
Junior Member
- Вес репутации
- 66
для начала снес, точнее отключил службу Windows-Zeitgeber - вроде как поначалу опять все залетало, принтер и звук на месте... через определенное время - наверное около 8-10 часов после запуска системы - опять активировался svchost.exe, но уже с примерно 30-50 процентной загрузкой процессора. Таким образом описанное выше отключение umonit.exe и отключение службы времени уже многое что дает... теперь слежу - будет ли исчезать звук и принтер.. попробую все равно поотключать и дальше остальные службы... Справедливости ради, надо сказать что я деинсталлировал Hard Disk Inspektor, Light Scribe Service, Site Advisor - хотя пока мне кажется они не причем...
Нашел пару очень сходных со моей проблемой тем:
http://virusinfo.info/showthread.php?t=7484
http://virusinfo.info/showthread.php?t=7635
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 66
остановил службу Server - комп глухо зависает после загрузки, просто зависает без БСОД - вернул обратно... Нашел временный способ вернуть возможность печатать, ибо поиск причины похоже затягивается, а работать все таки надо 
помогает на какое-то время - убить процесс spoolsv.exe и перезапустить его... а вообще конечно печально
Последний раз редактировалось Hawker; 29.01.2007 в 02:28.
-
Сообщение от
Hawker
остановил службу Server - комп глухо зависает после загрузки, просто зависает без БСОД - вернул обратно...
Это очень странно, по идее, не должно такого быть. Тогда стоит попробовать не останавливать Server, а понаблюдать за его активностью - Computer Management -> Shared Folders -> Sessions.
Или можно пойти более надежным путем - включить аудит входов в систему - Local Security Settings -> Local Policies -> Audit Policy -> Audit Account Logon Events, и потом почитать логи безопасности - Event Viewer -> Security.
Хотя, может быть, просто на рабочем столе лежат ярлыки со ссылками на сетевые ресурсы этого же компьютера? Тогда Explorer может сильно (до нескольких минут) тормозить при попытке отображать эти ярлыки.
Почему вылетают звук и принтер, в принципе, понятно - адресное пространство у них общее, и как только какой-то из сервисов его все "съедает" - у всех остальных сервисов этого процесса начинаются проблемы.
-
-
Junior Member
- Вес репутации
- 66
заметил интересную особенность - небезызвестный svchost.exe ест память не сразу на 2 гига- а постепенно - прибавляя по 100 Кб примерно в 20 - 30 минут... вот сейчас 1.339.860 К... дойдет до 1,9 -2,0 - можно смело перегружаться, ибо работать невозможно 
Хотя, может быть, просто на рабочем столе лежат ярлыки со ссылками на сетевые ресурсы этого же компьютера? Тогда Explorer может сильно (до нескольких минут) тормозить при попытке отображать эти ярлыки.
только один ярлык с ссылкой на сетку (точнее на рабочюю группу, состоящую из 2 компов - моего и еще одного)... тормозов отображения рабочего стола вроде нет
Почему вылетают звук и принтер, в принципе, понятно - адресное пространство у них общее, и как только какой-то из сервисов его все "съедает" - у всех остальных сервисов этого процесса начинаются проблемы.
ага... тогда понятно - почему это не сразу все появляется... а только через определенное время...
Попробую ваши рекомендации, а также поочередно поотключать сервисы, принадлежащие упомянутому svchost.exe
-
Junior Member
- Вес репутации
- 66
Тогда стоит попробовать не останавливать Server, а понаблюдать за его активностью - Computer Management -> Shared Folders -> Sessions.
ничего нет... ни одной записи
Или можно пойти более надежным путем - включить аудит входов в систему - Local Security Settings -> Local Policies -> Audit Policy -> Audit Account Logon Events, и потом почитать логи безопасности - Event Viewer -> Security.
не получается, к сожалению, наверное, в виду наличия Home Edition варианта Windows. secpol.msc не запускается
-
Прошу прощения за долгое молчание - у меня пока очень мало опыта в написании таких скриптов. Если проблема все еще актуальна, предлагаю провести следующий эксперимент.
1) Скачать и установить Debugging Tools for Windows (15,2 МБ).
2) Создать в блокноте новый документ, скопировать туда текст следующего скрипта:
Код:
.echotime
lm ov
r $t1=0
r $t2=0
r $t3=0
r $t4=0
r $t5=0
bp VirtualAlloc "r $t0=poi(esp);lm 1m a $t0;? $t0;.echo VirtualAlloc;r $t0=poi(esp+8);? $t0;r $t1=$t1+$t0;j ($t1<10000) 'g';'bc *;.echo !VirtualAlloc!;.echotime;qd"
bp VirtualAllocEx "r $t0=poi(esp);lm 1m a $t0;? $t0;.echo VirtualAllocEx;r $t0=poi(esp+0xC);? $t0;r $t2=$t2+$t0;j ($t2<10000) 'g';'bc *;.echo !VirtualAllocEx!;.echotime;qd"
bp HeapAlloc "r $t0=poi(esp);lm 1m a $t0;? $t0;.echo HeapAlloc;r $t0=poi(esp+0xC);? $t0;r $t3=$t3+$t0;j ($t3<10000) 'g';'bc *;.echo !HeapAlloc!;.echotime;qd"
bp GlobalAlloc "r $t0=poi(esp);lm 1m a $t0;? $t0;.echo GlobalAlloc;r $t0=poi(esp+8);? $t0;r $t4=$t4+$t0;j ($t4<10000) 'g';'bc *;.echo !GlobalAlloc!;.echotime;qd"
bp LocalAlloc "r $t0=poi(esp);lm 1m a $t0;? $t0;.echo LocalAlloc;r $t0=poi(esp+8);? $t0;r $t5=$t5+$t0;j ($t5<10000) 'g';'bc *;.echo !LocalAlloc!;.echotime;qd"
g
, сохранить этот текст как c:\debug_script.txt.
3) Посмотреть и запомнить идентификатор проблемного процесса svchost.exe (на приложенной картинке он равен 1660).
4) Запустить cmd.exe, и из него выполнить команду
"%ProgramFiles%\Debugging Tools for Windows\windbg.exe" -logo c:\debug_log.txt -p PID -c "$<c:\debug_script.txt"
при этом заменив выделенное жирным слово PID на запомненный на шаге 3 идентификатор.
5) После выполнения шага 4 запустится windbg и начнет выполнение скрипта. Когда скрипт закончится успешно - windbg должен будет сам закрыться. Если вдруг закончится неуспешно - выдаст какую-то ошибку, тогда его придется закрыть руками.
6) После завершения шага 5 крайне желательно полностью перезагрузить компьютер, особенно если windbg выдаст ошибку.
7) Приложить в тему заархивированный файл лога c:\debug_log.txt
Все выделенные синим цветом пути при желании можно заменить на другие:
- файл скрипта и лога можно переместить из корня диска С в какую-то временную папку;
- если при установке Debugging Tools for Windows было выбрано альтернативное размещение, нужно будет соответсвующим образом изменить командную строку, запускающую windbg.
Маленькие комментарии к вышенаписанному. windbg - это отладчик. Написанный мной скрипт заставляет его присоедниться к заданному процессу (в данном случае svchost.exe), отслеживать и писать в лог запросы на выделение памяти до тех пор, пока суммарный объем выделенной одним из способов памяти не превысит 64 килобайта.
У этого скрипта есть масса недостатков:
1) Он требует ручного указания идентификатора процесса.
2) Ведение лога - очень медленная операция (так, при запущенном скрипте отключение VPN-соединения на моем компьютере заняло несколько минут)
3) Скрипт не отслеживает освобождение памяти, поэтому в принципе может давать ошибочные результаты - однако их будет довольно несложно обнаружить.
4) Вывод скрипта малочитабелен.
5) Скрипт отслеживает не все, а только наиболее часто используемые способы выделения памяти.
6) Требуется большое время работы скрипта для получения достаточного для анализа количества логов.
7) После выполнения скрипта понадобится еще некоторое время на анализ лога, и, возможно, потребуется внести изменения в скрипт и повторно его запустить.
8) Возможно, еще какие-то недостатки обнаружатся при запуске скрипта на проблемном компьютере - при тестировании на моем компьютере они не были обнаружены.
Однако если бы я решил исправить все эти недостатки - я не закончил бы его написание и за две недели, поэтому я прошу воспользоваться тем, что есть, и сообщить результаты.
-
-
Junior Member
- Вес репутации
- 66
Спасибо большое... обязательно попробую предложенный метод. Проблема остается как никогда актуальной...
- Беспроводную мышь вырубает еще на окне экрана приветствия, после загрузки ОС - каждые полминуты - приходится постояно нажимать Reset на мыши.
Беспроводная клавиатура работает без проблем, хотя справедливости ради надо сказать, что ресиверы у них разные и проблема с мышью, мне кажется, больше хардварная, так как в безопасном режиме - такая же ситуация....
- Уже много раз упомянутый САБЖ сразу после загрузки системы занимает в памяти минимум 140 Кб и как я уже говорил развивает свою активность не сразу, хотя несмотря на это система сильно тормозит, естественно после "отъедания" САБЖ ом 2 Гигабайт памяти - нормальная работа вообще невозможна...
- В папке Документы_и_Установки появился новый профиль Administrator, который не появляется на экране приветствия... Само собой я его не устанавливал, разве что как то его включил? Ибо он совпадает по написанию с Administratorом, который появляется в окне приветствия при загрузке в безопасном режиме... по крайней мере - раньше не было его папки
- впервые увидел сообщения КИС "Сигнатуры угроз повреждены"
- Попробовал поотключать службы:
Windows Media Player Network Sharing Service
Брандмауэр Windows/Общий доступ в Интернет (ICS)
Службу времени перевел в ручной запуск
Службу регистрации ошибок
Справка и поддержка - переведена в ручной режим
Пробовал отключать COM+Erreignissystem - пришлось вернуть, так как система начала глухо виснуть
В целом пока улучшения не заметил, мне кажется даже наоборот, хотя это может быть прогрессия основной проблемы...
на очереди - Фоновая интеллектуальная служба передачи, ну и остальные согласно скриншоту принадлежащие упомянутому САБЖу
-
Junior Member
- Вес репутации
- 66
Результат скрипта... Единственно, что я должен заметить, в этот момент svchost.exe особо не бушевал, занимая 139 Кб памяти... А сколько он отнимает памяти "в норме"?
если запускать cmd.exe с админ. привилегиями, то процесс после отладки исчезает, загрузка процессора падает почти до 0, ну и как следствие исчезает Инет...
из под обычного пользователя - все остается как было - процесс живет и грузит комп
Последний раз редактировалось Hawker; 15.05.2007 в 21:28.
-
Сообщение от
Hawker
Проблема остается как никогда актуальной...
- Беспроводную мышь вырубает еще на окне экрана приветствия, после загрузки ОС - каждые полминуты - приходится постояно нажимать Reset на мыши.
Вряд ли эта проблема связана с предыдущей.
Сообщение от
Hawker
проблема с мышью, мне кажется, больше хардварная
Мне тоже так кажется. Возможно, ей просто батарейку нужно сменить?
Сообщение от
Hawker
- В папке Документы_и_Установки появился новый профиль Administrator, который не появляется на экране приветствия... Само собой я его не устанавливал, разве что как то его включил? Ибо он совпадает по написанию с Administratorом, который появляется в окне приветствия при загрузке в безопасном режиме... по крайней мере - раньше не было его папки
После логина, пусть даже в безопасном режиме, профиль должен был создаться.
Сообщение от
Hawker
- впервые увидел сообщения КИС "Сигнатуры угроз повреждены"
Здесь не знаю, что сказать, прошу совета других хелперов
Сообщение от
Hawker
Единственно, что я должен заметить, в этот момент svchost.exe особо не бушевал, занимая 139 Кб памяти... А сколько он отнимает памяти "в норме"?
У меня сейчас - около 4 мегабайт, но у меня Win2000, а на XP, как мне кажется, должно быть больше.
Сообщение от
Hawker
если запускать cmd.exe с админ. привилегиями, то процесс после отладки исчезает, загрузка процессора падает почти до 0, ну и как следствие исчезает Инет...
Я надеялся, что такого не будет, но на Win2000 последняя команда скрипта не работает, поэтому я не мог проверить этот момент. Но я подозревал, что что-то такое может случиться, потому и написал, что после работы скрипта крайне желательна перезагрузка.
------------------------------------------
Что же касается приложенного лога - он получился маловат по размерам (я перестраховался, не хотел, чтобы он был очень большим), и в нем тяжело понять, кто виноват. В связи с этим я попрошу сделать следующее.
1) Остановить сервис DHCP-Client и посмотреть, будет ли повторяться проблема с "поеданием" памяти.
2) Если проблема будет повторяться - отправить по правилам файлы iphlpapi.dll и dhcpcsvc.dll. Скорее всего, они пойдут в базу безопасных, но при этом помогут мне исправить скрипт для дальнейшего анализа.
------------------------------------------
И еще одна мысль. Может быть, я воюю с ветряными мельницами, а проблема решается гораздо проще? С учетом указанных в Вашем профиле данных стоит попробовать провериться антивирусом Avira Antivir - он и сам по себе весьма неплох, да еще и наверняка "заточен" на распространенные только в Германии зловреды.
-
-
Junior Member
- Вес репутации
- 66
1) Остановить сервис DHCP-Client и посмотреть, будет ли повторяться проблема с "поеданием" памяти.
Попробую... Только скорее всего пропадет Инет (АДСЛ модем) и мне кажется svchost.exe как раз после установления коннекта через некоторе время активизируется... О результатах сообщу
Я несколько ошибся в предыдущем посте
Единственно, что я должен заметить, в этот момент svchost.exe особо не бушевал, занимая 139 Кб памяти... А сколько он отнимает памяти "в норме"?
с самого начала небезызвестный процесс занимает 139 Мб памяти
-
Junior Member
- Вес репутации
- 66
