Приложение служб и контроллеров грузит процессор
 

Здравствуйте всем,такая проблема:яростно грузит процессор приложение служб и контроллеров,раньше такого не наблюдалось.Никаких программ за последнее время установлено не было.Изза нагрузки камня система отключалась изза перенагрева.Что может это быть,и как с этим бороться?Прошу помощи

Антивирус КИС 9.0.0.736
Версия винды 7600
ПС:процент загрузки на скриншоте - ещё цветочки

Ну что за привычка, остальную часть не показывать
Обратили бы хоть внимание на саму процедуру ntdll.dll!RtlRegisterThreadWithCsrss
Thread - нить (потоки)
With - c
Csrss

Valeant, что именно не показал?

Gold Dragon,
что происходит с другими процессами например CSRSS

Valeant, вот как и просили все процессы,также с открытыми потоками процесса CSRSS

Valeant,
Вы знаете из двух скринов, складывается впечатление, что у вас на ПК пытается завестись троян или может вирус, это предположение, хоть и стоит у вас AVP или "корявое" приложение которое делает не правильный вызов (это лечится просто, когда началось и что ставили последнее или обновляли):

1 скрин
ntdll.dll!RtlRegisterThreadWihtCsrss
- так как Csrss данный файл управляет также созданием и удалением процессов и потоков, и ссылка в вызове, ntdll.dll!... это связка ядра и приложений путем вызова функций.
2 скрин сама csrss
winsrv.dll!ConServerDllInitialization
- если вы наберете данное сообщение в интернете то получите большинство ссылок на подозрение на вирус, т.е. антивирусник удаляет файл *.dll а вирус пытается зарегистрировать библиотеку, которой нет.

Хотя повторюсь, такое же может быть от корявой программы.

Для более детального понимания проблемы воспользуйтесь программой ProcMonitor, так как у вас загрузка CPU идет постоянно, то отыскать в ProcMonitor что происходит думаю не проблема, тем более ясно что смотреть: какие службы и какие *.dll и на какие вызовы обратить внимание.

Valeant, это возможно,так как у меня кис не был активирован примерно неделю,шас ключ есть,вроде всё нормуль.
мне кажеться это исключено.так как за последнее у меня время обновился офис 07 и было устаноылено пару игр,в них я не сомневаюсь,они у меня стояли и раньше,и без сбоев.
ПС:Valeant, спасибо,за то что помогаете.

Gold Dragon,
Сомнение хорошо но тогда

Valeant, я скачал прогу,но не пойму-что именно искать то нужно?

Gold Dragon,
Я так и понял.
Запускаете ProcMonitor на пол экрана, ProcessExplorer так же на пол экрана - для информации по PID и определение момента когда нагружен CPU.
Переходите в ProcMonitor и смотрите, для остановки приема информации в буфер используете "Сtrl+E" (вкл/выкл), очистка буфера для нового приема "Ctrl+X". Добавим информацию в столбцы - пр.кн.мыши на строке где надпись столбца "Process Name" - Select Columns - галки на
Process Name
Image Path
Command Line
Operation
Time of Day
Detail
Result
User Name
Process ID
Thread ID
Названия столбцов можно передвигать влево/право для удобства, с этим разобрались.

Далее когда % загрузки СРU у вас возрастет до значения которое вас не устраивает, ставите текущий указатель мышкой в ProcMonitor на самое нижнее место, не чего не трогая в ПК хотя бы 1мин, потом потихоньку прокручиваете, и наблюдаете за пробегающей информацией, спустя минут 3-5 делаете остановку приема информации в буфер "Сtrl+E" и спокойно его изучаете.
Смотрим по скринам вас интересует Process Name - services, файл ntdll.dll - как я говорил это связка ядра и приложения, TID у вас есть это Thread ID и т.д. ну то есть на все что у вас вызывает подозрения в Process Explorer (файлы, службы и т.д.) и ищите их в ProcMonitor. Ищим приложение которое это все вызывает (т.е. либо само приложение, либо ссылку на файл, а по нему и само приложение можно найти)

т.е. в самый конец списка?
а выделять перед этим надо чтото?

Gold Dragon,
У вас на экране как обычно во всех приложениях буфер заполняется с верху, по мере заполнения экрана он будет опускаться ниже, естественно чтоб легче было начать осмотр его лучше поймать то место. Устанавливая мышь текущую строчку вы делаете ее активной.

Valeant, сделал,как написали,вроде правильно,скопировал в буфер,т.к. значений черезчур много,воспользоволся поиском по ntdll.dll,и эта ntdll.dll постоянна связана с процессом DllHost.exe
вот пример

Gold Dragon,
Ну а мышкой не судьба была нажать на данной строчке

Valeant, а что найти то нужно?Открываеться 3 вкладки: "event","process" и "stack" .

Так как у вас подозрение как вы пишите на dllhost.exe то он один не запсукается он всегда идет с командой типа GUI - {}
C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}

Вам нужно что у вас в фигурных скобках, в реестре ищите ее название.
У меня подозрение что у вас будет тот же GUI - Thumbnail Cache Out of Proc Server, в реестре напротив этого GUI должно быть DllSurrogate пустая строка, который отвечает за кеширование иконок для отображения их в проводнике.

Или что-то другое, но в любом случае нежен C:\Windows\system32\DllHost.exe /Processid:{......}

Valeant, вот что есть:
Операция: Load Image
Команда: C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
В реестре данный ключ находиться по адресу HKEY_CLASSES_ROOT\AppID\{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
и имеет 2 параметра REG_SZ :
1) название (По умолчанию) ;Значение Thumbnail Cache Out of Proc Server.
2) название DllSurrogate ;Значение пусто.

Операция: QueryNameInformationFile
Команда: C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
В реестре данный ключ находиться по адресу HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}
и имеет 2 параметра REG_SZ:
1) название (По умолчанию) ;Значение Thumbnail Cache Class Factory for Out of Proc Server.
2) название AppID ;Значение {AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}.

Операция: CreateFile
Команда: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -host

Операция: SetBasicInformationFile
Команда: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -host

Операция: QueryAttributeTagFile
Команда: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -host

Операция: Load Image
Команда: C:\Windows\system32\wermgr.exe -queuereporting

Операция: QueryNameInformationFile
Команда: C:\Windows\system32\AUDIODG.EXE 0x398

Операция: Load Image
Команда: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe4_ Global\UsGthrCtrlFltPipeMssGthrPipe4 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"

ну и дальше в том же духе.И winRAR и jetaudio вызывают ntdll.dll

Gold Dragon,
Как и говорил ранее подозрение на Thumbnail. Такое поведение DllHost возможно при создании эскизов файлов и формирование базы по ним thumbcache_32.db и т.д. по моему система просто не может эту базу создать или сопоставить с кодеком.
C:\Users\...\AppData\Local\Microsoft\Windows\Explorer
thumbcache_32.db где NN обозначает максимальный размер (в пикселях)
thumbcache_96.db
...
ExplorerStartupLog.etl
ExplorerStartupLog_RunOnce.etl
thumbcache_idx.db (индекс базы данных)
thumbcache_sr.db

DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
Это может приводить к постоянной загрузке CPU, так же создается кеш этих превьюшек результатом будут файлы
Я уже ссылку на это оставлял
http://www.docwin.ru/article912.html


QueryNameInformationFile - запрос информации о файле в столбце Path
CreateFile - создать файл, или открыть на запись
SetBasicInformationFile - если посмотреть в столбец detail то увидите информацию о файле (создан, дата, время и т.д.)
Load image - загрузить (дословный изображение, но реально файл в память)
QueryNameInformationFile - Query - сделать запрос ....

Требует ресурсы у вас и Kaspersky Internet Security 2010 так как что-то создает, проверяет, запрашивает.

Работает SearchProtocolHost.exe - Search (протокол службы поиска) но она много времени брать не должна, если запустите ProcessExplorer и посмотрите на нее в столбце CPU Tume то там должны стоять крохи, она должна отработать и исчезнуть и остаться только должна SearchIndexer.exe - Индексатор службы Microsoft Windows Search

ntdll.dll - это связка приложений с ядром windows

и что с этим делать?Как то можно помочь системе?
За ссылку спасибо,сейчас читаю.
Что правда-то правда.
Странно,он у меня постояно висит (процесс SearchIndexer.exe запустил 2 дочерних процесса SearchProtocolHost.exe и SearchFilterHost.exe .
Ок,запомнил.
А как определить,что тот или иной процесс запустила ОС или доверенные программы,а не вирус,руткит и пр. дрянь?Смотреть путь к файлу и потом проверять KIS?
А ProcessExplorer видит скрытые процессы?

Gold Dragon, почему не сузить поле поиска проблемы ? Удалить KIS.

Нет, но подозрительные процессы можно увидеть.

В нормально рабочей системе C:\Windows\system32\SearchIndexer.exe - Microsoft Windows Search Indexer пусть висит он не должен мешать работе, из 2:55 часа работы ПК он отработал всего 0:00:0,986 часа, только вот дочерние процессы должны были отработать, смотрите чем они занимаются в ProcMonitor можно поставить фильтры, на выбранной строчке, пр.кн.мыши выбираем Include -> далее например по Process Name и данный процесс все с ним связано останется на экране, убрать фильтр можно Ctrl+L

Если с Thumbnail то только проанализировав найти не чем затыкается.

Но для начало лучше действительно отключить KIS и посмотреть, так как возможно при работе "эскизов" KIS контролирует систему и проверяет все на запуск и что на запуск.

Vancouver, возможно вы возрозите,но лучше каспера (в плане своих прямых обязанностей) я ещё ничего не юзал.Даже знаменитый нод32 не увидел то,что увидел кис.Так что я выбираю безопасность,хоть и такую навязчиваю :biggrin:
Мммм...Которые грузят систему,странно названы,чтото от себя запускают?Или есть другие способы?
Ничего не изменилось абсолютно.

А ты его отключил или просто закрыл программу управления? Это далеко не одно и то же...

PS: Обычно помогает отключить самозащиту в KIS'е... Разработчикам за нее - большой и жирный минус :(

Так вы просто отключили или удалили ? Надо бы второе.

ну не скажи...наоборот я когда вирус словил и каспкр не был активирован все EXEшники не могли запускаться,а каспер работал...
Эхх,посмотрю и скажу

Gold Dragon,
Если вы внимательно видели через ProccessExplorer все что запускается на ПК, то при появление подозрительной службы можно (не утверждаю) увидеть ненужное, почаще смотрите в закладки services и threads.

Что вы имеете ?

И что ищет SearchProtocolHost.exe в каталоге C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc (*.tmp) он должен быть пустой (любят некоторые трояны) , у вас случаем нет Toolbar для Mozila?

Что конкретно "не скажи"? Что отключение самозащиты KIS'а тут же убирает тормоза? Так это уже давно известно... Или тебе не хочется на самом деле найти причину тормозов на твоем компьютере? ;) Или хочется найти где угодно, только не в KIS'е? Просто попробовать ведь не долго.

у меня опера вообще.Был фаервокс,но я удалил его.
Dzirt2005, блин,я просто сказал,что самозащита порой бывет штука полезная

Gold Dragon,
У вас как с загрузкой сейчас?

Valeant, всмысле?
Через msconfig смотрел,все приложения мне знакомы.Загружаеться за время примерно равному 10 секундам,загрузка идёт без ошибок и без сбоев.

Т.е. все разрешилось

как сказать...

Gold Dragon,
Ну т.е. осталось все тоже, ну вы хоть что-то пробовали из всего того, что было написано выше
1. Thumbnail - эскизы, превьюшки
2. SearchIndexer.exe -> SearchProtocolHost.exe
3. И что ищет SearchProtocolHost.exe в каталоге C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc (*.tmp) он должен быть пустой (любят некоторые трояны)
4. Kaspersky Internet Security 2010

1. при открытии проводника заметил кратковременный запуск DllHost.exe .Кстати приложение служб и контроллеров нагружает даже когда не пользую проводник
2.молчит пока,как обычно
3.пуст
4.остался он.удалю его и посмотрю на реакцию

Здравствуйте.Версия винды 7601 х86.nod.32
Все что описано выше тОже самое.C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc
кратковременный запуск DllHost.exe
при открытии проводника или браузера.и просто без запущенных приложений.Ищет цепочку с цифрами и ссылаясь на мозилу4.которая установлена.
компьютер перезагружается при использовании мозила3.6.16 или при просмотре фильма любым проигрывателем.
скрытая папка usgthrsvc датируется числом и временем сбоя компа.
интересно найти причину.
А вернее всего просто переустановить.