Здравствуйте всем,такая проблема:яростно грузит процессор приложение служб и контроллеров,раньше такого не наблюдалось.Никаких программ за последнее время установлено не было.Изза нагрузки камня система отключалась изза перенагрева.Что может это быть,и как с этим бороться?Прошу помощи
http://i052.radikal.ru/0911/3f/9ca6dcc0c29ft.jpg (http://radikal.ru/F/i052.radikal.ru/0911/3f/9ca6dcc0c29f.png.html)
Антивирус КИС 9.0.0.736
Версия винды 7600
ПС:процент загрузки на скриншоте - ещё цветочки

Ну что за привычка, остальную часть не показывать
Обратили бы хоть внимание на саму процедуру ntdll.dll!RtlRegisterThreadWithCsrss
Thread - нить (потоки)
With - c
Csrss


Client/Server Runtime Subsystem (csrss.exe)
CSRSS — сокращённо от Client-Server Runtime Subsystem, является критическим процессом операционной системы Windows. Одноимённый исполняемый файл хранится в системной директории в папке system32.
Файл отвечает за работу:
терминальных служб,
служб удалённого доступа к рабочему столу,
консольных приложений,
а также является менеджером потоков в операционной системе.
По умолчанию его завершение в Диспетчере задач запрещено. Завершение csrss.exe каким-либо другим способом ведёт к аварийной перезагрузке Windows.
Множество вирусов использует данное имя приложения, чтобы не вызвать подозрения у пользователя, тем более что для каждого терминального доступа создаётся отдельный экземпляр файла, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке system32, а его подмена практически невозможна на компьютере с одной ОС.

Valeant, что именно не показал?

Gold Dragon,
что происходит с другими процессами например CSRSS

Valeant, вот как и просили все процессы,также с открытыми потоками процесса CSRSS
http://i038.radikal.ru/0911/c6/0ea3f13fa59et.jpg (http://radikal.ru/F/i038.radikal.ru/0911/c6/0ea3f13fa59e.png.html)

Valeant,
Вы знаете из двух скринов, складывается впечатление, что у вас на ПК пытается завестись троян или может вирус, это предположение, хоть и стоит у вас AVP или "корявое" приложение которое делает не правильный вызов (это лечится просто, когда началось и что ставили последнее или обновляли):

1 скрин
ntdll.dll!RtlRegisterThreadWihtCsrss
- так как Csrss данный файл управляет также созданием и удалением процессов и потоков, и ссылка в вызове, ntdll.dll!... это связка ядра и приложений путем вызова функций.
2 скрин сама csrss
winsrv.dll!ConServerDllInitialization
- если вы наберете данное сообщение в интернете то получите большинство ссылок на подозрение на вирус, т.е. антивирусник удаляет файл *.dll а вирус пытается зарегистрировать библиотеку, которой нет.

Хотя повторюсь, такое же может быть от корявой программы.

Для более детального понимания проблемы воспользуйтесь программой ProcMonitor, так как у вас загрузка CPU идет постоянно, то отыскать в ProcMonitor что происходит думаю не проблема, тем более ясно что смотреть: какие службы и какие *.dll и на какие вызовы обратить внимание.

Valeant, у вас на ПК пытается завестись троян или может вирус »
это возможно,так как у меня кис не был активирован примерно неделю,шас ключ есть,вроде всё нормуль.
Хотя повторюсь, такое же может быть от корявой программы. »
мне кажеться это исключено.так как за последнее у меня время обновился офис 07 и было устаноылено пару игр,в них я не сомневаюсь,они у меня стояли и раньше,и без сбоев.
ПС:Valeant, спасибо,за то что помогаете.

Gold Dragon,
Сомнение хорошо но тогда
Для более детального понимания проблемы воспользуйтесь программой ProcMonitor, так как у вас загрузка CPU идет постоянно, то отыскать в ProcMonitor что происходит думаю не проблема, тем более ясно что смотреть: какие службы и какие *.dll и на какие вызовы обратить внимание.

Valeant, я скачал прогу,но не пойму-что именно искать то нужно?

Gold Dragon,
Я так и понял.
Запускаете ProcMonitor на пол экрана, ProcessExplorer так же на пол экрана - для информации по PID и определение момента когда нагружен CPU.
Переходите в ProcMonitor и смотрите, для остановки приема информации в буфер используете "Сtrl+E" (вкл/выкл), очистка буфера для нового приема "Ctrl+X". Добавим информацию в столбцы - пр.кн.мыши на строке где надпись столбца "Process Name" - Select Columns - галки на
Process Name
Image Path
Command Line
Operation
Time of Day
Detail
Result
User Name
Process ID
Thread ID
Названия столбцов можно передвигать влево/право для удобства, с этим разобрались.

Далее когда % загрузки СРU у вас возрастет до значения которое вас не устраивает, ставите текущий указатель мышкой в ProcMonitor на самое нижнее место, не чего не трогая в ПК хотя бы 1мин, потом потихоньку прокручиваете, и наблюдаете за пробегающей информацией, спустя минут 3-5 делаете остановку приема информации в буфер "Сtrl+E" и спокойно его изучаете.
Смотрим по скринам вас интересует Process Name - services, файл ntdll.dll - как я говорил это связка ядра и приложения, TID у вас есть это Thread ID и т.д. ну то есть на все что у вас вызывает подозрения в Process Explorer (файлы, службы и т.д.) и ищите их в ProcMonitor. Ищим приложение которое это все вызывает (т.е. либо само приложение, либо ссылку на файл, а по нему и само приложение можно найти)

на самое нижнее место »
т.е. в самый конец списка?
спустя минут 3-5 делаете остановку приема информации в буфер "Сtrl+E" »
а выделять перед этим надо чтото?

Gold Dragon,
У вас на экране как обычно во всех приложениях буфер заполняется с верху, по мере заполнения экрана он будет опускаться ниже, естественно чтоб легче было начать осмотр его лучше поймать то место. Устанавливая мышь текущую строчку вы делаете ее активной.

Valeant, сделал,как написали,вроде правильно,скопировал в буфер,т.к. значений черезчур много,воспользоволся поиском по ntdll.dll,и эта ntdll.dll постоянна связана с процессом DllHost.exe
вот пример
http://s61.radikal.ru/i173/0911/13/bc8557e0a8e8t.jpg (http://radikal.ru/F/s61.radikal.ru/i173/0911/13/bc8557e0a8e8.png.html)

Gold Dragon,
Ну а мышкой не судьба была нажать на данной строчке

Valeant, а что найти то нужно?Открываеться 3 вкладки: "event","process" и "stack" .

Так как у вас подозрение как вы пишите на dllhost.exe то он один не запсукается он всегда идет с командой типа GUI - {}
C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}

Вам нужно что у вас в фигурных скобках, в реестре ищите ее название.
У меня подозрение что у вас будет тот же GUI - Thumbnail Cache Out of Proc Server, в реестре напротив этого GUI должно быть DllSurrogate пустая строка, который отвечает за кеширование иконок для отображения их в проводнике.

Или что-то другое, но в любом случае нежен C:\Windows\system32\DllHost.exe /Processid:{......}

Valeant, вот что есть:
Операция: Load Image
Команда: C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
В реестре данный ключ находиться по адресу HKEY_CLASSES_ROOT\AppID\{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
и имеет 2 параметра REG_SZ :
1) название (По умолчанию) ;Значение Thumbnail Cache Out of Proc Server.
2) название DllSurrogate ;Значение пусто.

Операция: QueryNameInformationFile
Команда: C:\Windows\system32\DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
В реестре данный ключ находиться по адресу HKEY_CLASSES_ROOT\CLSID\{AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}
и имеет 2 параметра REG_SZ:
1) название (По умолчанию) ;Значение Thumbnail Cache Class Factory for Out of Proc Server.
2) название AppID ;Значение {AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}.

Операция: CreateFile
Команда: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -host

Операция: SetBasicInformationFile
Команда: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -host

Операция: QueryAttributeTagFile
Команда: "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" -host

Операция: Load Image
Команда: C:\Windows\system32\wermgr.exe -queuereporting

Операция: QueryNameInformationFile
Команда: C:\Windows\system32\AUDIODG.EXE 0x398

Операция: Load Image
Команда: "C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe4_ Global\UsGthrCtrlFltPipeMssGthrPipe4 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon"

ну и дальше в том же духе.И winRAR и jetaudio вызывают ntdll.dll

Gold Dragon,
Как и говорил ранее подозрение на Thumbnail. Такое поведение DllHost возможно при создании эскизов файлов и формирование базы по ним thumbcache_32.db и т.д. по моему система просто не может эту базу создать или сопоставить с кодеком.
C:\Users\...\AppData\Local\Microsoft\Windows\Explorer
thumbcache_32.db где NN обозначает максимальный размер (в пикселях)
thumbcache_96.db
...
ExplorerStartupLog.etl
ExplorerStartupLog_RunOnce.etl
thumbcache_idx.db (индекс базы данных)
thumbcache_sr.db

DllHost.exe /Processid:{AB8902B4-09CA-4BB6-B78D-A8F59079A8D5}
Это может приводить к постоянной загрузке CPU, так же создается кеш этих превьюшек результатом будут файлы
Я уже ссылку на это оставлял
http://www.docwin.ru/article912.html


QueryNameInformationFile - запрос информации о файле в столбце Path
CreateFile - создать файл, или открыть на запись
SetBasicInformationFile - если посмотреть в столбец detail то увидите информацию о файле (создан, дата, время и т.д.)
Load image - загрузить (дословный изображение, но реально файл в память)
QueryNameInformationFile - Query - сделать запрос ....

Требует ресурсы у вас и Kaspersky Internet Security 2010 так как что-то создает, проверяет, запрашивает.

Работает SearchProtocolHost.exe - Search (протокол службы поиска) но она много времени брать не должна, если запустите ProcessExplorer и посмотрите на нее в столбце CPU Tume то там должны стоять крохи, она должна отработать и исчезнуть и остаться только должна SearchIndexer.exe - Индексатор службы Microsoft Windows Search

ntdll.dll - это связка приложений с ядром windows

Это может приводить к постоянной загрузке CPU »
и что с этим делать?Как то можно помочь системе?
За ссылку спасибо,сейчас читаю.
Требует ресурсы у вас и Kaspersky Internet Security 2010 так как что-то создает, проверяет, запрашивает. »
Что правда-то правда.
Работает SearchProtocolHost.exe - Search (протокол службы поиска) но она много времени брать не должна »
Странно,он у меня постояно висит (процесс SearchIndexer.exe запустил 2 дочерних процесса SearchProtocolHost.exe и SearchFilterHost.exe .
ntdll.dll - это связка приложений с ядром windows »
Ок,запомнил.
А как определить,что тот или иной процесс запустила ОС или доверенные программы,а не вирус,руткит и пр. дрянь?Смотреть путь к файлу и потом проверять KIS?
А ProcessExplorer видит скрытые процессы?

Gold Dragon, почему не сузить поле поиска проблемы ? Удалить KIS.