Помогите! Процессы lsass.exe и WmiPrvSe.exe сильно грузят процессор Win7
 

ПРОЦЕССЫ : lsass.exe и WmiPrvSe.exe сильно грузят процессор Win7


Здравствуйте!В последнее время процессы lsass.exe и WmiPrvSe.exe, сильно грузят процессор.В особенности- Lsass.exe,при выходе в интернет первый час-два после начала работы системы.Потом- WmiPrvSe.exe. Пожалуйста,помогите.Данное явление началось недавно.Проверял на наличие вирусов ВСЕМИ доступными утилитами.Установлен KIS 14.0.0.4651.Заранее благодарен.Вот необходимые вложения.

И,если можно,объясните по-шагово что сделать,чтобы убрать проблему.

2108ig, скачайте и установите все обновления из центра обновлений Windows и перезагрузите ПК.

без него проблема остается?

Он установлен у меня уже 2 года.Проблема появилась около 2-3 недель назад.

И за эти два года не было ни одного обновления баз или модулей KIS'а? Ну тогда действительно он ни на что не может влиять, без вопросов. 146% ;)

2108ig,

Запустите Process Explorer > на процессе правой кнопкой мыши > Properties > вкладка Threads > сортировка по столбцу CPU > выложите скриншот.
Выделите поток, грузящий процессор > нажмите кнопку Stack > выложите скриншот.
На вкладке Services список служб > выложите скриншот.

Проверьте наличие проблемы в режиме Чистой загрузки

Вот сделал.Пожалуйста.Обновил сегодня KIS 14 до KIS 15. Ничего не изменилось. Через Вирус-инфо проверяли спецы.Вирусов -нет. Процесс lsass.exe ,сильно грузит при входе (и потом примерно час),в Интернет(через любой браузер).

2108ig, У вас грузит поток 8332,а не 1136.
Надо было показать Stack потока 8332.

Вот .Еще раз.Процесс 2072

2108ig,

Как определить, является проблема системной или вызвана сторонним приложением/службой

Если не удастся выявить виновника, удалите Антивирус Касперского и проверьте наличие проблемы.

Если не поможет:
Сначала сюда Вам нужна помощь? Нам нужны ваши логи! Начиная со слов "Скачайте автоматический сборщик логов"
Затем создать тему здесь, подкрепив собранные логи Лечение систем от вредоносных программ

2108ig, вы забыли сообщить о выполнении:
Как определить, является проблема системной или вызвана сторонним приложением/службой

Судя по логам, куча сторонних служб/драйверов.

На этом скриншоте раздвиньте окно по вертикали, чтобы был виден весь стек целиком.

Видно, что процесс Lsass что-то там шифрует.
Дальше включаем телепатию.
1. Драйвер от AVG Anti-Rootkit есть - вам же посоветовали его удалить.
Не надо скрещивать AVG с Касперским.

2. Ни одной программы от FSPro в списке нет.
А драйвер есть.
FSPro Cryptic Disk раньше стоял, а потом был криво удален?

3. К процессу Lsass цепляется библиотека BtwProximityCP.dll - тоже может глючить.

Здравствуйте!AVG удалял Uninstall Tool.Вроде и хвосты почистил.Так что,ручками из папок поудалять остатки?И как это "скрещивать с Касперским"?Просто на каком-то форуме,также посоветовали воспользоваться данной утилитой. Ведь ,обращаясь к форумам,надеешься на помощь и доверяешь мнению ЭКСПЕРТОВ.Ведь так?По-поводу У меня не получается включить эту самую телепатию ,по причине недостаточных знаний.Поэтому и обратился к Вам.Что это за библиотека и что еще можно предпринять для решения проблемы.Появилась она совсем недавно.Объясните мне,как идиоту.Я-просто пользователь,а не эксперт и консультант.Что бы ,в данной ситуации ,предприняли лично Вы?Заранее благодарен.

Удалил ручками C:\Windows\System32\DRIVERS\avgarkt.sys и C:\Windows\System32\Drivers\FSPFltd2.sys .Можно ли безболезненно удалить эту BtwProximityCP.dll библиотеку.Если она принадлежит продукту Bluetooth Software,то я не пользуюсь этой опцией на ноутбуке.Или удаление повлияет на работу системы в целом?Вот еще сделал лог Universal Virus Sniffer,как посоветовали в разделе Лечение систем от вредоносных программ .Может Вы посмотрите и его?

2108ig,

Я так понимаю, что C:\Program Files\WIDCOMM\Bluetooth Software\BtwProximityCP.dll с каким-то ПО установлено.
В Панель управления\Программы\Программы и компоненты\Удаление программ.

Попробуйте пока просто переименовать этот файл. Страшного ничего не будет. Понаблюдаете за работой системы.

ruslan...,
Переименовал,как посоветовали. А что Вы можете сказать по этому логуCollectionLog-2015.03.17-23.41.zip. ,в начале темыhttp://forum.oszone.net/showthread.php?p=2484094
Вы изначально посоветовали его сделать.
С уважением.

2108ig, на этом скриншоте раздвиньте окно по вертикали, чтобы был виден весь стек целиком.

Petya V4sechkin, При всем уважении,эта ссылка на рабочая http://forum.oszone.net/attachment.p...3&d=1426485518

Я не являюсь консультантом, поэтому и дал ссылку, где создать тему, где его посмотрят консультанты. Его я посоветовал сделать, если предыдущие советы не дадут результата.

Самое первое, что я посоветовал - Как определить, является проблема системной или вызвана сторонним приложением/службой.
Вы до сих пор не отчитались о выполнении.

Остальное уже смотрели достаточно грамотные люди.

ruslan..., Во скрин процессов и процесса lsass.exe в безопасном режиме. Как видите ,проблема осталась и в безопасном режиме.В рекомендациях https://www.outsidethebox.ms/10368/ ,я не до конца понял,ЧТО мне нужно сделать далее?("Если в безопасном режиме проблема не наблюдается, она кроется в сторонней службе или программе...").Получается проблема -не в сторонней службе или программе??
P.S.Этот процесс грузит систему ,примерно около часа.Потом-затихает и "уходит"почти в ноль.

Да, получается, что проблема системная. Дальше службы нет смысла отключать.

В предыдущем Вашем сообщении скриншота по ссылке нет. Пере-залейте.

ruslan..., Этого?

Нет. То, что просил Petya V4sechkin,
И сделайте то, с чего нужно наверное было начать:

1. Откройте командную строку с Административными правами. Для этого нажмите кнопку Пуск > выберите Все программы > Стандартные >
щелкните правой кнопкой мыши командную строку и выберите команду Запуск от имени администратора.
2. В командной строке введите следующую команду и нажмите клавишу ВВОД: Если в конце проверки выйдет сообщение, что не все файлы удалось восстановить, выложите C:\windows\Logs\CBS\CBS.log в архиве.
Если файлы будут восстановлены, перезагрузитесь и проверьте наличие проблемы.

Конечно, вы же удалили свои сообщения на первой странице темы. Теперь ссылка на ваш скриншот нерабочая. На скриншот стека потока процесса, грузящего систему. Который нам хотелось увидеть полностью, сверху донизу.

Более того, мы бы предпочли увидеть стек не только lsass.exe, но и WmiPrvSe.exe. Раз проблема в двух процессах.

Petya V4sechkin, Вот два разных потока и их стеки, процесса lsass.exe,которые грузят процессор.(последний скрин длинный, пришлось сделать так ,это стек второго грузящего потока -4476).Процесс WmiPrvSe.exe.,слава Богу,почему-то успокоился и 2 дня с ним все вроде нормально.
С уважением.

2108ig, http://forum.oszone.net/post-2484779-22.html

При вводе в командную строку sfc /scannow,получается вот что...Это как понимать?Раньше не было такого.Такая команда выполнялась.

2108ig, Попробуйте это (батник запускайте от имени администратора).

Запуск от имени Администратора.

2108ig, Ещё у вас может быть конфликт антивируса и expstart.exe.
Такое поведение expstart.exe моет расцениваться антивирусом,как вредоносное ПО.

P.S. ИМХО

Результат проверки sfc /scannow
http://my-files.ru/kznew1

2108ig, в логе нет событий [SR]. Повторите сканирование sfc.

2108ig,

Повторите, перезагрузитесь и подкрепите к сообщению CBS.LOG

Илья_Рудоманенко@vk, Программа ,мною(моим сыном),установлена 3 дня назад.Она-лицензионная.Проблема с lsass.exe,появилась значительно раньше(1-2мес.назад).Сейчас (параллельно с Вами, веду переписку со служб.поддержки Касперского.Их продукт KIS-15,некорректно установился ,когда обновлял KIS-14...)Сейчас повторю лог.Делаю его через ERD-commander,т.к. по-прежнему из командной строки(даже от имени адм.)не получается. Батник-аналогично(на секунду выскакивает окно ком.строки и исчезает).

Вот еще раз сканировал с помощью ERD-commander.
http://my-files.ru/sevglp

2108ig, всё рано нет событий [SR]. http://forum.oszone.net/post-2485169-27.html

Еще раз.Утилиту sfc 0.4 запускаю от имени администратора.Выскакивает окно ком.строки и пропадает.Поэтому делаю лог ERD-commander(ом).После проверки ,появилось сообщение о том,что ошибок системных файлов нет.Перезагружаюсь.Проблема с lsass.exe осталась.
http://rghost.ru/8dtgV2L8g

2108ig

C:\Users\k>sfc /scannow
Разве по этому пути Вы можете что-то запустить?

Должно быть так: C:\WINDOWS\system32>sfc /scannow
Смотрите скрин.

2108ig,

Покажите содержимое (сделайте скриншоты) разделов реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\HwOrder
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

И попробуйте провести sfc /scannow в безопасном режиме.

skrnn, И каким образом мне отредактировать ком.строку??!При вызове ее,выходит именно это окно C:\Users\k_.Тем не менее, посмотрите еще один лог.
Вот посмотрите http://rghost.ru/8SvCkBm2J
ruslan..., Сделал ,как просили.Но содержимое - совершенно одинаково.

И пожалуйста ,подскажите,как мне изменить путь(на правильный) в командной строке(не по-умолчанию)?Ведь если и предыдущий лог не подходит,надо же что-то делать?Я ведь так ,никакую команду в ней не смогу выполнить в дальнейшем?! Почему такое поизошло и почему она приобрела нынешний вид?Заранее благодарен.
С уважением.

2108ig, сделайте лог Process Monitor следующим образом:

1. дождитесь высокой загрузки lsass.exe и запустите Process Monitor;
2. сохраните лог: меню File -> Save -> PML-формат;
3. заархивируйте и выложите на любой файлообменник, например http://rghost.ru

Petya V4sechkin
Илья_Рудоманенко@vk,
ruslan...,
skrnn,
ПОЖАЛУЙСТА ,подскажите,что мне сделать(манипуляции),раз я уже здесь (как изменить путь)в командной строке(он сейчас по -умолчанию),чтобы проверить ситему с помощью команды C:\WINDOWS\system32>sfc /scannow?Я-с правами администратора.
Ведь, в дальнейшем я такие вещи должен знать.Может в реестре что-то надо менять?

2108ig,

Это нужно делать вот так:
1. Откройте командную строку с Административными правами. Для этого нажмите кнопку Пуск > выберите Все программы > Стандартные >
щелкните правой кнопкой мыши командную строку и выберите команду Запуск от имени Администратора.
2. В командной строке введите следующую команду и нажмите клавишу ВВОД: И не забудьте сделать лог файл, как просил Petya V4sechkin.
Можете сделать два, один в PML-формат другой в CSV-формат.

2108ig

Попробуйте так:

Кнопка Пуск -> в окне "Найти программы и файлы" наберите cmd -> в появившемся окне в самом верху будет cmd.exe -> нажмите правую кнопку мыши и запустите от имени администратора.

Или зайдите в папку C:\Windows\System32, найдите файл cmd.exe и запустите его от имени администратора.

ruslan..., Да,пытался я так сделать уже и знаю алгоритм...! Я писАл выше и этот вопрос обсуждался,не получается .Не тот путь(по-умолчанию стоит).Как изменить его,я просил объяснить в предыдущем моем письме. Вот что получается.(скрин прикреплен)

skrnn, Спасибо ,так вроде получилось.Сейчас лог выложу.
http://my-files.ru/m3spjz

А вот логи с Process Monitor
http://my-files.ru/j733fq

Система у Вас сборка чья-то корявая.

282 компонента восстановлено. Перезагружайтесь и проверяйте проблему.

Не восстановлено
C:\Windows\IME\IMEJP10\DICTS\IMJPCH.DIC
C:\Program Files\Common Files\microsoft shared\ink\ru-RU\tipresx.dll.mui

Можете восстановить вручную:
1. Взять файлы на здоровом компьютере.
2. Получить доступ и скопировать к себе в папки.
3. После замены вернуть владельца TrustedInstaller

2108ig, и в логе Procmon мало что сохранилось.

Посмотрите в сохраненных учетных данных, нет ли чего.

Попробуйте еще создать дамп процесса lsass.exe с помощью Диспетчера задач (если получится, выложите DMP-файл).

ruslan..., Пожалуйста ,подкажите по-шагово.Как "..взять файлы на здоровом компьютере..."?Просто скопировать на флэшку??(получив доступ,как сказано по ссылке в посте?).У меня ,просто нет установочного диска.Не могу найти.А с помощью ERD-commander,можно это сделать?

2108ig,

Скопировать на флэшку здоровые файлы.
На поврежденных файлах сделать себя владельцем и дать себе права.
Заменить файлы и вернуть владельца обратно.

Всем спасибо большое за помощь и советы. У меня был ранее созданный образ диска на Акронисе(еще когда эти процессы не грузили систему).Откатил .Сейчас вроде все нормально.Еще раз благодарю ВСЕХ экспертов.С искренним уважением ко всем Вам,Головнёв Игорь Александрович.
P.S.Надеюсь и в дальнейшем,если возникнут проблемы,обратиться к Вам за квалифицированной помощью и надеюсь -не откажите.