|
| Weird : XP malkes for processorkraft ?? Fra : Henning Sørensen |
Dato : 20-12-03 01:43 |
|
Underlige symptomer :
1)
Ind imellem er min Win XP Pro meget langsom.
Under Jobliste/Processer står, at der bliver brugt op til 90%.
For det meste ligger udnyttelse på 20-40%.
Jeg finder så en svchost process der bruger processer kraft og afslutter den
hvorefter forbruget falder til 0%.
Jeg har ikke kunne finde ud af, hvilket program svchost har gang i...
Alt fungerer normalt selvom denne process afsluttes...
Jeg har kørt antivirus, jvtools og ad-aware uden at det har ændret denne
underlige opførsel.
Det har været sådan lige siden installation.
Gendannelse er fravalgt.
2)
95% af tiden kører min harddisk on/off kontinuerligt. (tick-tick-tick...)
Jeg er ved at blive vanvittig af at høre på det...
Er det en normal del af XP ???
Nogen der har nogle gode råd ??
/Henning.
| |
Thomas Madsen (20-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 20-12-03 03:26 |
|
Henning Sørensen skrev:
> Jeg finder så en svchost process der bruger processer kraft og
> afslutter den hvorefter forbruget falder til 0%.
Du er sikker på at der står svchost og ikke scvhost?
> Jeg har ikke kunne finde ud af, hvilket program svchost har gang
> i... Alt fungerer normalt selvom denne process afsluttes...
WinXP kan ikke køre uden SVCHOST.EXE og der kører som regel flere
af dem. Jeg har pt. tre kørende. Jeg kan kvæle de to af dem, men
hvis jeg forsøger at kvæle den sidste, så kommer der en dialogboks
som fortæller at RPC har afsluttet og at computeren vil genstarte.
Alle kørende tjenester er afhængige af SVCHOST.EXE. De bruger dog
ingen processorkraft her. Der står 00 ud for dem alle.
> Jeg har kørt antivirus, jvtools og ad-aware uden at det har ændret
> denne underlige opførsel.
> Det har været sådan lige siden installation.
Det kunne være denne her, som har sneget sig ind:
< http://home.tvd.be/ws36178/security/troyan/agobot.html>
Bemærk:
| The worm uses the filename scvhost.exe. You can search and delete
| this program. Be carefull ! Windows uses a program called
| svchost.exe, don't delete this one.
> 2)
> 95% af tiden kører min harddisk on/off kontinuerligt.
> (tick-tick-tick...) Jeg er ved at blive vanvittig af at høre på
> det... Er det en normal del af XP ???
Nej, det er ikke normalt, men det er meget normal opførsel når en
virus eller orm er blandet ind i det.
--
Med venlig hilsen
Madsen.
| |
Henning Sørensen (20-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 20-12-03 13:01 |
|
"Thomas Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns945722DA510C9.thomas@madsen.tdcadsl.dk...
> Henning Sørensen skrev:
>
> > Jeg finder så en svchost process der bruger processer kraft og
> > afslutter den hvorefter forbruget falder til 0%.
>
> Du er sikker på at der står svchost og ikke scvhost?
Ja - svchost.exe - har netop stoppet en "lokal tjeneste" der kørte med
svchost.exe
hvorefter cpu forbrug faldt fra 55% til 0%. Harddisken tick-tick'er dog
stadig....
>
> > Jeg har ikke kunne finde ud af, hvilket program svchost har gang
> > i... Alt fungerer normalt selvom denne process afsluttes...
>
> WinXP kan ikke køre uden SVCHOST.EXE og der kører som regel flere
> af dem. Jeg har pt. tre kørende. Jeg kan kvæle de to af dem, men
> hvis jeg forsøger at kvæle den sidste, så kommer der en dialogboks
> som fortæller at RPC har afsluttet og at computeren vil genstarte.
> Alle kørende tjenester er afhængige af SVCHOST.EXE. De bruger dog
> ingen processorkraft her. Der står 00 ud for dem alle.
>
> > Jeg har kørt antivirus, jvtools og ad-aware uden at det har ændret
> > denne underlige opførsel.
> > Det har været sådan lige siden installation.
>
> Det kunne være denne her, som har sneget sig ind:
> < http://home.tvd.be/ws36178/security/troyan/agobot.html>
>
> Bemærk:
> | The worm uses the filename scvhost.exe. You can search and delete
> | this program. Be carefull ! Windows uses a program called
> | svchost.exe, don't delete this one.
>
> > 2)
> > 95% af tiden kører min harddisk on/off kontinuerligt.
> > (tick-tick-tick...) Jeg er ved at blive vanvittig af at høre på
> > det... Er det en normal del af XP ???
>
> Nej, det er ikke normalt, men det er meget normal opførsel når en
> virus eller orm er blandet ind i det.
Ja - også min tanke. Jeg har søgt efter scvhost.exe, men ikke fundet den.
Derimod en fil : SVCHOST.EXE-3530F672.pf. Den ligger i c:\windows\prefetch\
>
> --
> Med venlig hilsen
> Madsen.
I lige måde
/Henning.
| |
Thomas Madsen (20-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 20-12-03 14:36 |
|
Henning Sørensen skrev:
> Ja - svchost.exe - har netop stoppet en "lokal tjeneste" der kørte
> med svchost.exe hvorefter cpu forbrug faldt fra 55% til 0%.
Jeg forstår ikke det du skriver dér. Du har stoppet en lokal
tjeneste som får SVCHOST.EXE til at falde i cpu-forbrug?
Hvad var det for en lokal tjeneste? Noget tyder vel på at du
har fundet synderen så?
> Harddisken tick-tick'er dog stadig....
Kører indekseringstjenesten? (Start > Kør: services.msc).
Hvis den står til Automatisk, så prøv at stoppe den og stil den
til Deaktiveret i stedet. Hvis harddisken holder op med at tikke,
så er det indekseringstjenesten der er løbet løbsk. Normalt bør
den kun gå i gang efter et vist antal minutter, hvor computeren
ikke har været i brug, men den kan vist finde på at gå i gang
på andre tidspunkter også.
> Ja - også min tanke. Jeg har søgt efter scvhost.exe, men ikke
> fundet den.
Ok.
> Derimod en fil : SVCHOST.EXE-3530F672.pf. Den ligger i
> c:\windows\prefetch\
Det er blot et tegn på at SVCHOST.EXE er en fil som ofte bliver
brugt på din computer. Du kan læse hvad Prefetch-funktionen gør
her: < http://www.wintip.dk/xp/tips/minidefrag.htm>.
--
Med venlig hilsen
Madsen.
| |
Henning Sørensen (20-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 20-12-03 21:33 |
|
"Thomas Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns9457948A491D7.thomas@madsen.tdcadsl.dk...
> Henning Sørensen skrev:
>
> > Ja - svchost.exe - har netop stoppet en "lokal tjeneste" der kørte
> > med svchost.exe hvorefter cpu forbrug faldt fra 55% til 0%.
>
> Jeg forstår ikke det du skriver dér. Du har stoppet en lokal
> tjeneste som får SVCHOST.EXE til at falde i cpu-forbrug?
> Hvad var det for en lokal tjeneste? Noget tyder vel på at du
> har fundet synderen så?
>
Procesnavn : svchost.exe
Brugernavn : lokal tjeneste
Ved at afslutte denne faldt cpu forbrug fra 55% til 0%
Der er andre tilsvarende, men når symptomet optræder er der altid en som
ovenstående, der bruger xx% cpu kraft.
Præcis hvad det er for en "lokal tjeneste" er desværre ikke gået op for mig
endnu...
> > Harddisken tick-tick'er dog stadig....
>
> Kører indekseringstjenesten? (Start > Kør: services.msc).
> Hvis den står til Automatisk, så prøv at stoppe den og stil den
> til Deaktiveret i stedet. Hvis harddisken holder op med at tikke,
> så er det indekseringstjenesten der er løbet løbsk. Normalt bør
> den kun gå i gang efter et vist antal minutter, hvor computeren
> ikke har været i brug, men den kan vist finde på at gå i gang
> på andre tidspunkter også.
>
Indexering kører ikke - har jeg sikkert disabled det i forsøg på at stoppe
tickeriet...
> > Ja - også min tanke. Jeg har søgt efter scvhost.exe, men ikke
> > fundet den.
>
> Ok.
>
> > Derimod en fil : SVCHOST.EXE-3530F672.pf. Den ligger i
> > c:\windows\prefetch\
>
> Det er blot et tegn på at SVCHOST.EXE er en fil som ofte bliver
> brugt på din computer. Du kan læse hvad Prefetch-funktionen gør
> her: < http://www.wintip.dk/xp/tips/minidefrag.htm>.
>
> --
> Med venlig hilsen
> Madsen.
ILM
/Henning.
| |
Sid (20-12-2003)
| Kommentar Fra : Sid |
Dato : 20-12-03 22:18 |
|
>
> Indexering kører ikke - har jeg sikkert disabled det i forsøg på at stoppe
> tickeriet...
>
Har du undersøgt for spyware?
Ellers prøv med AD-aware.
Mvh Sid
| |
Thomas Madsen (20-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 20-12-03 22:31 |
|
Henning Sørensen skrev:
> Procesnavn : svchost.exe
> Brugernavn : lokal tjeneste
> Ved at afslutte denne faldt cpu forbrug fra 55% til 0%
Nå ok.
> Præcis hvad det er for en "lokal tjeneste" er desværre ikke gået
> op for mig endnu...
Prøv evt. at åbne joblisten og sørg for at den viser PID-nummeret.
Hvis du ikke kan se det ud for de kørende tjenester, så gå op i
Vis > Kolonner (hvis det ellers hedder det på dansk) og slå PID
til. Noter ned, hvilket PID-nummer den SVCHOST.EXE som sluger
CPU-forbruget har. Når det er gjort så start en kommandoprompt
og skriv: Tasklist /svc
Hvis du kan finde PID-nummeret på listen, så burde der stå hvilken
tjeneste der bruger SVCHOST.
> Indexering kører ikke - har jeg sikkert disabled det i forsøg på
> at stoppe tickeriet...
Sært. Det er vel ikke sådan at du er løbet tør for RAM og at WinXP
derfor står og leger RAM på harddisken hver gang du foretager dig
noget?
--
Med venlig hilsen
Madsen.
| |
Henning Sørensen (20-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 20-12-03 23:59 |
|
"Thomas Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns9457E511AE6BD.thomas@madsen.tdcadsl.dk...
> Henning Sørensen skrev:
>
> > Procesnavn : svchost.exe
> > Brugernavn : lokal tjeneste
> > Ved at afslutte denne faldt cpu forbrug fra 55% til 0%
>
> Nå ok.
>
> > Præcis hvad det er for en "lokal tjeneste" er desværre ikke gået
> > op for mig endnu...
>
> Prøv evt. at åbne joblisten og sørg for at den viser PID-nummeret.
> Hvis du ikke kan se det ud for de kørende tjenester, så gå op i
> Vis > Kolonner (hvis det ellers hedder det på dansk) og slå PID
> til. Noter ned, hvilket PID-nummer den SVCHOST.EXE som sluger
> CPU-forbruget har. Når det er gjort så start en kommandoprompt
> og skriv: Tasklist /svc
> Hvis du kan finde PID-nummeret på listen, så burde der stå hvilken
> tjeneste der bruger SVCHOST.
Så kom jeg vist lidt nærmere...
PID nummeret er : 1136.
Tasklist viser :
svchost.exe 1136 LmHosts, RemoreRegistry, WebClient.
I joblisten bruger denne lige nu 15% - et tal der åbenbart stiger fra 0 -
99% "over time"....
Siger det dig noget ??
Tickeriet stoppede nu, da jeg afsluttede denne proces.
Skal lige have checket, om "1136" så starter igen (eller proces med samme
LmHosts osv.)
>
> > Indexering kører ikke - har jeg sikkert disabled det i forsøg på
> > at stoppe tickeriet...
>
> Sært. Det er vel ikke sådan at du er løbet tør for RAM og at WinXP
> derfor står og leger RAM på harddisken hver gang du foretager dig
> noget?
Maskinen er en P4 2.4 med 512MB ram.
Win er en XP Pro studielicens.
Jeg har ingen programmer kørende i baggrunden.
/Henning.
| |
Thomas Madsen (20-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 20-12-03 22:36 |
|
Sid skrev:
> Ellers prøv med AD-aware.
Prøv at læse: <news:bs05ud$clm$1@sunsite.dk> :)
--
Med venlig hilsen
Madsen.
| |
Thomas Madsen (21-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 21-12-03 04:22 |
| | |
Henning Sørensen (21-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 21-12-03 09:32 |
|
"Thomas Madsen" <nospam@madsen.tdcadsl.dk> skrev i en meddelelse
news:Xns94582C8015696.thomas@madsen.tdcadsl.dk...
> Henning Sørensen skrev:
>
> > svchost.exe 1136 LmHosts, RemoreRegistry, WebClient.
> > I joblisten bruger denne lige nu 15% - et tal der åbenbart stiger
> > fra 0 - 99% "over time"....
> >
> > Siger det dig noget ??
>
> Det siger mig ikke hvem af dem der er synderen, men LmHosts er NetBIOS
> Helper Service. < http://www.theeldergeek.com/tcp_ip_netbios_helper.htm>.
> NetBIOS over TCP/IP gør du klogest i at slå fra af sikkerhedsmæssige
> årsager og når den er slået fra, har du heller ikke brug for NetBIOS
> Helper Service.
>
> Hvordan du slår NetBIOS fra, kan du læse her:
> < http://www.petri.co.il/disable_netbios_in_w2kxp.htm>
> (Medmindre at du har brug for den selvfølgelig, men du kan altid slå
> den til igen, hvis du ramler ind i nogle af de problemer som er nævnt
> på ovenstående side).
>
> NetBIOS Helper Service kan du slå fra vha. Start > Kør: services.msc
> og mens du er derinde, så slå RemoteRegistry og WebClient fra også.
> Stop dem og stil dem derefter til Deaktiveret.
>
> Se evt.:
> < http://www.blackviper.com/WinXP/service411.htm#Remote_Registry_Service>
> og: < http://www.blackviper.com/WinXP/service411.htm#WebClient>.
>
> --
> Med venlig hilsen
> Madsen.
Bortset fra NetBIOS Helper Service (kan jeg ikke lige finde..) har jeg nu
slået det hele fra.
Kørsel af tasklist /svc viste så LmHosts. Jeg har slået LmHost fra i
netværksegenskaber.
Så nu er jeg spændt
/Henning.
| |
Henning Sørensen (21-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 21-12-03 10:28 |
|
"Henning Sørensen" <hkksnews@privat.dk> skrev i en meddelelse
news:bs3lqm$gjb$1@sunsite.dk...
> Bortset fra NetBIOS Helper Service (kan jeg ikke lige finde..) har jeg nu
> slået det hele fra.
> Kørsel af tasklist /svc viste så LmHosts. Jeg har slået LmHost fra i
> netværksegenskaber.
> Så nu er jeg spændt
>
> /Henning.
Som du nok kan se af ovenstående, er jeg ingen ørn til netværk
However, da mine netværksdrev forsvandt ved ovenstående operationer, har jeg
netop aktiveret NetBIOS (standard indstilling).
Nu kan jeg se mine drev på min server - så bliver det spændende, om
problemet med processorkraften er løst.
Den maskine jeg kørte med før, var en ALDI maskine med XP Home OEM, og der
havde jeg ikke problemet, så der burde jo være en vej !
I netværksegenskaber har jeg iøvrigt 2 netværk : Ethernet og Firewire.
Egenskaberne skal tilgåes via en netværksbro (MAC bro miniport)
Dvs det billede man normalt får frem ved højreklik på netkortet får jeg frem
ved højreklik på denne netværksbro.
Måske er det dér hunden ligge begravet ??
/Henning.
| |
Henning Sørensen (21-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 21-12-03 10:34 |
|
Hmmm...
Efter lidt tid er det PID 1040 der bruger 30% processorkraft.
Tasklist /svc gav følgende :
Procesnavn PID Tjenester
========================= ======
=============================================
System Idle Process 0 I/T
System 4 I/T
smss.exe 636 I/T
csrss.exe 724 I/T
winlogon.exe 748 I/T
services.exe 796 Eventlog, PlugPlay
lsass.exe 808 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 976 RpcSs
svchost.exe 1040 AudioSrv, Browser, CryptSvc, Dhcp,
dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Messenger,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, ShellHWDetection, TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, wuauserv, WZCSVC
svchost.exe 1116 Dnscache
svchost.exe 1140 LmHosts, SSDPSRV
spoolsv.exe 1372 Spooler
nvsvc32.exe 1444 NVSvc
svchost.exe 1540 stisvc
explorer.exe 1992 I/T
mixer.exe 660 I/T
realsched.exe 676 I/T
msimn.exe 556 I/T
msmsgs.exe 1972 I/T
SFOE0000.exe 172 I/T
taskmgr.exe 1172 I/T
cmd.exe 2004 I/T
wmiprvse.exe 360 I/T
tasklist.exe 516 I/T
Confused ?? Jeg er...
/Henning.
| |
Henning Sørensen (21-12-2003)
| Kommentar Fra : Henning Sørensen |
Dato : 21-12-03 10:35 |
|
"Henning Sørensen" <hkksnews@privat.dk> skrev i en meddelelse
news:bs3pdk$s1p$1@sunsite.dk...
> Hmmm...
> Efter lidt tid er det PID 1040 der bruger 30% processorkraft.
Sludder og vrøvl - PID 1140 naturligvis !!
/Henning.
| |
Thomas Madsen (21-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 21-12-03 22:54 |
|
Henning Sørensen skrev:
> Som du nok kan se af ovenstående, er jeg ingen ørn til netværk
Det er jeg heller ikke. Jeg ved blot at min ADSL-forbindelse
kører fint uden NetBIOS, så derfor har jeg slået det fra.
> However, da mine netværksdrev forsvandt ved ovenstående
> operationer, har jeg netop aktiveret NetBIOS (standard
> indstilling). Nu kan jeg se mine drev på min server - så bliver
> det spændende, om problemet med processorkraften er løst.
Ok. Jeg tør ikke at spille klog på om netværksdrevene kan blive
tilgængelige uden NetBIOS. Det er der nok større change for at
de ved i < http://usenet.dk/grupper.pl?get=dk.edb.netvaerk>.
> Den maskine jeg kørte med før, var en ALDI maskine med XP Home
> OEM, og der havde jeg ikke problemet, så der burde jo være en
> vej!
Det er der garanteret også. Det er bare et spørgsmål om at finde
den. :)
> I netværksegenskaber har jeg iøvrigt 2 netværk : Ethernet og
> Firewire. Egenskaberne skal tilgåes via en netværksbro (MAC bro
> miniport) Dvs det billede man normalt får frem ved højreklik på
> netkortet får jeg frem ved højreklik på denne netværksbro.
> Måske er det dér hunden ligge begravet ??
Måske, men nu er vi desværre ude i noget som jeg ikke aner en
hujende fis om.
--
Med venlig hilsen
Madsen.
| |
Thomas Madsen (21-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 21-12-03 22:54 |
|
Henning Sørensen skrev:
> svchost.exe 1140 LmHosts, SSDPSRV
Igen LmHosts. Mon ikke det er den der er synderen?
Du skrev at du ikke kan finde tjenesten. Jeg ved ikke hvad den hedder
på dansk, men det må andre med en dansk WinXP kunne fortælle. I den
engelske WinXP hedder den som sagt NetBIOS Helper Service.
--
Med venlig hilsen
Madsen.
| |
Thomas Madsen (22-12-2003)
| Kommentar Fra : Thomas Madsen |
Dato : 22-12-03 15:17 |
|
Thomas Madsen skrev:
> Igen LmHosts. Mon ikke det er den der er synderen?
> Du skrev at du ikke kan finde tjenesten. Jeg ved ikke hvad den
> hedder på dansk, men det må andre med en dansk WinXP kunne
> fortælle.
Den hedder 'Tjenesten TCP/IP NetBIOS Helper'.
(Jeg sidder nemlig lige med søsterens blærbare som kører WinXP Home DK).
--
Med venlig hilsen
Madsen.
| |
|
|