» Странный глюк WindowsUpdate

Вот уже пошла вторая неделя, после того как меня начал мучать странный процесс SVCHOST, занимающий до 99% ЦП и памяти до 300 - 500 мегабайт. После убивания процесса сразу отрубалась служба Firewall, встроенная в Windows. При попытке запуска оно сообщало мне, что запуск невозможен. Спасал только ребут компа.

Сначала думал что это вирь, установил несколько антивирусов, но в пустую.

Потом переустановил систему, и о чудо!!! после загрузки первых обновлений Windows SVCHOST снова ведет себя так же как и до переустановки системы.

Еще несколько раз переустановил систему, но... все осталось на своем месте.

При последней установке системы я отключил автоматическое обновление Windows и все стало на свои места.

Я продолжил свои экскрименты на данную тему, Поставил несколько разных FireWall, с ними система работала нормально, и даже проходили обновления, но по разным причинам они меня не устроили.

Кто нибудь сталкивался с подобной проблемой? Какие способы решения?

mrCooL
какая ОС?

Цитата:

установил несколько антивирусов

Цитата:

Поставил несколько разных FireWall

попробуйте определиться и оставить по одному продукту.

Цитата:

отключил автоматическое обновление Windows

обновления можно выкачать и установить вручную.

Цитата:

После убивания процесса сразу отрубалась служба Firewall, встроенная в Windows.

Цитата:

Поставил несколько разных FireWall,

- Одна машина - одна стенка.
Если есть желание вырубить встроенную стену выни (напр, если мнение имеется, что некая сторонняя лучше работать будет) - кажись,
Панель управления>Центр обеспечения безопасности>Изменить способ... убрать галку с Брандмауер
С антивирями аналогично - в один момент времени может работать только один монитор или сканер. При большем числе - как минимум
Цитата:

занимающий до 99% ЦП и памяти до 300 - 500 мегабайт

как максимум - БСОД.

1. OS: Windows XP SP2
2. Кочено, в один момент времени работали только 1 стена и 1 антивирь.
3. Закачивать обновления вручную - это конечно можно, именно так и делаю сейчас, но вот беда... в трее висит щит красный с крестиком, который уже достал, а включать автоматические обновления - это однозначный ребут через 1 - 2 минуты.


Кстати что такое БСОД?

mrCooL

Цитата:

Кстати что такое БСОД?

Голубой экран смерти


Цитата:

в трее висит щит красный с крестиком, который уже достал

отключи в сервисах "центр безопасности" и не будет доставать

Цитата:

отключи в сервисах "центр безопасности" и не будет доставать

СПАСИБО! меня эта зараза уже достала ]:-> и не подумал, что его в сервисах можно отключить

Попробуй поставить заплатку от sassera и подобный вирей, подозрение на них. Антивирусы могут не определить их, фаер помогает до тех пока включен.

1. Голубого экрана смерти я не видел.
2. Заплатки против данных червей уже стоят.

тем не менее проблема существует.

mrCooL
а что показывает netstat?

У меня подобная проблема, но проявляется немного иначе.
В настройках питания выбрано выключение монитора через 10 мин. Так вот после выключения монитора (сразу или через время это я не замечал) начинает работать винт(лампочка моргает постоянно). Если тронуть мышь - монитор просыпается и видно что SVCHOST грузит процессор еще секунд 10 (30-70% загрузка проц), после чего все нормально работает (загрузка 1%, винт не работает)

WinXP+SP2

Что это может быть?

Цитата:

начинает работать винт

- может какая прога чего сохраняет? Как в офисе автосохранение каждые № минут, так и у тебя что-то.. Глянь, нет ли чего такого?

Или какой-нить дефрагментор поставил себе с установками "дефрагить, когда никакой работы на компе не происходит"..

netstat -a

Активные подключения

Имя Локальный адрес Внешний адрес Состояние
TCP CooL:epmap CooL:0 LISTENING
TCP CooL:microsoft-ds CooL:0 LISTENING
TCP CooL:990 CooL:0 LISTENING
TCP CooL:1030 CooL:0 LISTENING
TCP CooL:5679 CooL:0 LISTENING
TCP CooL:7438 CooL:0 LISTENING
TCP CooL:netbios-ssn CooL:0 LISTENING
TCP CooL:1046 download.windowsupdate.com:http TIME_WAIT
TCP CooL:1047 update.microsoft.com:http TIME_WAIT
TCP CooL:1048 download.windowsupdate.com:http TIME_WAIT
TCP CooL:1049 download.windowsupdate.com:http TIME_WAIT
TCP CooL:1050 update.microsoft.com:http TIME_WAIT
TCP CooL:1051 download.windowsupdate.com:http TIME_WAIT
TCP CooL:1052 update.microsoft.com:http ESTABLISHED
TCP CooL:1056 update.microsoft.com:http ESTABLISHED
TCP CooL:1060 download.windowsupdate.com:http ESTABLISHED
UDP CooL:microsoft-ds *:*
UDP CooL:isakmp *:*
UDP CooL:1038 *:*
UDP CooL:4500 *:*
UDP CooL:ntp *:*
UDP CooL:1040 *:*
UDP CooL:1900 *:*
UDP CooL:ntp *:*
UDP CooL:netbios-ns *:*
UDP CooL:netbios-dgm *:*
UDP CooL:1900 *:*

Винт в это время молчит как рыба об лед.

Цитата:

TCP CooL:microsoft-ds

=445 порт. Один из любимых на НТ/2к/ХР для всяческих ломателей.

Цитата:

TCP CooL:netbios-ssn

=139 порт. У меня вообще-то по нетбиосу работают токмо 137-138, и то ограниченно удп.
139 указаны как доступ к шарам на вашем компе через нетбиос. Вы что-то шарите по сети?

Цитата:

netbios-ns

=137
Цитата:

netbios-dgm

=138
Цитата:

isakmp

=500 что за сервис не знаю, не встречал

Цитата:

TCP CooL:epmap CooL:0 LISTENING

=135. =RPC-LOCATOR - RPC (Remote Procedure Call) Location Service
тож довольно часто атакуемый.

Цитата:

TCP CooL:990 CooL:0 LISTENING

=990=FTP Control TLS/SSL
- у вас поставлен фтп сервер на машине? Который надо откуда-то контролировать через ссл?
4500=SAE-URN - sae-urn не знаю, кто такой..
ssdp        1900/udp SSDP - опять же, мне незнакомый сервис (гугл напрягите, мне бежать скоро)

Цитата:

TCP CooL:5679 CooL:0 LISTENING

dccm 5679/tcp Direct Cable Connect Manager - а кстати, через что вы в инет ходите?

Цитата:

TCP CooL:7438 CooL:0 LISTENING

7438-7490 Unassigned - не назначен.. Вероятно, какая-то ваша утилита пользует этот нестандартный порт зачем-то. А ставили ли её вы, или кто-то еще - вопрос второй..

Вот, собственно, я бы после такой диаграммы поискал у себя насчет новоявленных шар, троев каких-нить, короче, просканился бы на тему паразитов. Возможно, кто сможет уточнить или дополнить, бо юзал что-то из упомянутых сервисов..

mrCooL
1.Поставить себе нормальный FireWall
2.Запретить ВСЕМУ серверничать (принимать входящие подключения)
в первую очередь "Generic Host Process for Win32"
3.Разрешить принимать входящие подключения тому, что должно их иметь (eMule, ICQ)

Цитата:

Цитата:TCP CooL:microsoft-ds
=445 порт. Один из любимых на НТ/2к/ХР для всяческих ломателей.

Цитата:TCP CooL:netbios-ssn
=139 порт. У меня вообще-то по нетбиосу работают токмо 137-138, и то ограниченно удп.
139 указаны как доступ к шарам на вашем компе через нетбиос. Вы что-то шарите по сети?

Цитата:netbios-ns
=137
Цитата:netbios-dgm
=138

Все это не использую, но как сие притырить - не знаю.


Цитата:

Цитата:TCP CooL:990 CooL:0 LISTENING
=990=FTP Control TLS/SSL
- у вас поставлен фтп сервер на машине? Который надо откуда-то контролировать через ссл?
4500=SAE-URN - sae-urn не знаю, кто такой..
ssdp 1900/udp SSDP - опять же, мне незнакомый сервис (гугл напрягите, мне бежать скоро)

Цитата:TCP CooL:5679 CooL:0 LISTENING
dccm 5679/tcp Direct Cable Connect Manager - а кстати, через что вы в инет ходите?

Цитата:TCP CooL:7438 CooL:0 LISTENING
7438-7490 Unassigned - не назначен.. Вероятно, какая-то ваша утилита пользует этот нестандартный порт зачем-то. А ставили ли её вы, или кто-то еще - вопрос второй..

Все это использует программа Microsoft ActiveSync.
Цитата:

поискал у себя насчет новоявленных шар, троев каких-нить, короче, просканился бы на тему паразитов.

Сканировал... ничего, даже систему переставлял полностью....
Цитата:

бо юзал что-то из упомянутых сервисов

Нет Бо такого не юзал, как и никто из аналогов. Да и взяться ему неоткуда. Уверен на 100%.


Цитата:

Поставить себе нормальный FireWall

Конкретнее плз.

mrCooL
Лично я рекомендую ZoneAlarm, но на вкус и цвет, как говорится...

Цитата:

Все это не использую, но как сие притырить - не знаю.

Закрыть стеной порты.
Выбор стены - за тобой по требуемым параметрам - какой выход в инет , соотв, нужно ли фильтрование по МАС/АРП, нужна ли работа с РРРоЕ; насколько дефицитны ресурсы, нужон ли контроль приложений, легконастраиваемость правил...
По вопросам связанным с выбором - туда http://forum.ru-board.com/topic.cgi?forum=5&topic=15135&start=340#lt
(сам юзаю виснетик - бо он, look'n'stop, wipfw составляют тройку оптимальных для моих условий, но рекомендовать не буду, ибо сомневаюсь в идентичности твоих условий и моих )

Цитата:

Все это использует программа Microsoft ActiveSync.

- ну если вы в ней уверены, знач те "тревоги" отбрасываем.
Но уж 135/445 закрыть обязательно надо. Ну и правила для свхост прописать внимательно. как минимум.

Цитата:

даже систему переставлял полностью....

- в некоторых случаях (напр, непропатченная система находится в сети без стенки + кому-то в домене/локалке/сети прова некуда потратить свою энергию и время) период до заражения может оказаться очень небольшим.

Глюк действительно странный.

У меня стоял Athlon 64 3200+, вчера сменил его на Athlon 64 Core Duo 4800+. После этого SVCHOST грузит систему на 70% в течении 2 - 5 минут после запуска WindowsUpdate. Вирей я так и не обнаружил.