Службы брандмауэра Windows 7, потребляющие весь процессор

Question

У меня установлена 64-битная Windows 7 на двух компьютерах: мой Dell Dimension 5150 и мой Dell Latitude D830.

Сегодняшнее недовольство таково:

Иногда я смотрю на свою процессорную вещь и вижу что-то вроде этого:

На моем Dimension 5150 это состояние может продолжаться непрерывно в течение нескольких часов. Через некоторое время меня это раздражает (поскольку установленный на нем экземпляр VMware Server начинает постоянно терять время, если хост остается в этом состоянии слишком долго), и я перезагружаю компьютер, чтобы он ушел.

На моем Latitude D830 он приходит и уходит, а приходит и уходит. Кажется, нет никакой разницы в том, к какой сети я подключен, что я делаю на компьютере, подключен ли я к сети или нет ...

Итак, я поднимаю диспетчер задач и вижу это:

Итак, главный нарушитель - это какая-то вещь svchost.exe, которая приходит в бешенство. Поэтому я щелкаю правой кнопкой мыши на экземпляре svchost и выбираю Перейти к службам. Это вызывает службы на основе DLL, связанные с этим экземпляром svchost. Я вижу это:

Это говорит мне о том, что это правонарушители (выписанные в пользу Google):

• MpsSvc "Брандмауэр Windows"
• ДПС "Служба диагностической политики"
• БФЭ "Базовый фильтр"

На рабочем столе это мешает серверу VMware; на ноутбуке это убивает мой заряд батареи. Я мог идти 4-5 часов на одной зарядке; когда эти услуги выходят из строя, мне повезло получить 2.

На этих компьютерах установлена версия Symantec Endpoint v11.0.4202.75.

Мне бы очень хотелось узнать, почему MpsSvc, DPS и / или BFE решили взбеситься и забрать с собой мой компьютер.

Кто-нибудь может дать мне какие-нибудь советы?

Answer 1

Наконец, Wireshark работает на 64-битной Windows 7, и я нахожу свой ответ.

При запуске wireshark во время одного из этих инцидентов на моем ноутбуке экран захвата интерфейса показывает, что мой адаптер TAP-Win32 V9 накапливает пакеты с очень высокой скоростью.

Захват этого интерфейса показывает, что пакеты представляют собой последовательность запросов DHCP: «Обнаружение», «Предложение», «Запрос», «NAK», которые выполнялись в течение 0,0159 секунд и затем повторялись.

В этом очень специфическом случае подсеть (и интерфейс, после отражения) - это та, которая используется клиентом OpenVPN, установленным на моем ноутбуке. В некоторых случаях, когда он не работает, особенно если он не работает в беспроводной сети, клиент OpenVPN "подключается", а затем шифруется, пока устанавливаются сетевые параметры. Мне часто приходится отключаться, а затем подключать клиент OpenVPN, чтобы использовать его.

Помня обо всем этом, я отключил и снова подключил клиент OpenVPN. Это немедленно было вознаграждено последовательностью DHCP Discover-Offer-Request-Ack с обычным шумом, который Windows посылает по сетевым соединениям. Что еще более важно, использование процессора немедленно прекратилось.

В системе настольного компьютера также был установлен клиент OpenVPN, и, вероятно, источником этих проблем также.

Answer 2

Не знаю точной причины, но когда BFE-компонент svchost начинает загружать процессор, правильным действием будет перезапуск брандмауэра Windows (из services.msc). Если вы попытаетесь перезапустить BFE, это, скорее всего, не удастся.

Только что была эта проблема 5 минут назад, у меня тоже на Win7-64. Нет необходимости в перезагрузке, хотя я также отключил / включил мою сетевую карту из devmgmt.msc, просто в качестве меры предосторожности (это удивительно часто помогает при различных проблемах с сетевой картой).

На сайтах Microsoft есть много тем об этом, но без какого-либо разрешения (и я отвечаю на 3-летний пост!).

Answer 3

В моем случае служба общего доступа к Интернету (ICS) остается в состоянии "Запуск".

Откройте диалоговое окно «Выполнить» (Windows + R) и введите services.msc чтобы открыть Services , найти общий доступ к подключению Интернета (ICS) и отключить его.

Перезагрузите и наслаждайтесь :).

Answer 4

В моей локальной сети на работе я решил обновить свой IP-адрес с помощью ipconfig /renew . Я подозреваю, что это может быть что-то, связанное с приостановкой / гибернацией.

Answer 5

Это список вещей, которые вы можете проверить (не решение).
Создайте точку восстановления системы перед продолжением.

1. Проверьте Event Viewer на необычные системные ошибки
2. Проверьте программу просмотра событий на наличие необычных ошибок брандмауэра: на левой панели выберите Журнал приложений / служб / Microsoft / Windows / Брандмауэр Windows в режиме повышенной безопасности / Брандмауэр.
3. Включите ведение журнала брандмауэра, как описано здесь. Изучите журнал для забавных вещей.
4. Используйте TCPView, чтобы увидеть, открывают ли какие-либо программы странные порты (или пытаются).
5. Используйте автозапуск, чтобы проверить смешные стартапы. С его помощью вы можете сохранить текущее состояние, а затем выборочно отключить некоторые программы запуска, чтобы увидеть, изменит ли это что-либо. После этого вы можете вернуть ситуацию обратно.
6. Сканирование с использованием нескольких антивирусных программ. Вы можете использовать онлайн-сканеры от известных компаний (каждая занимает несколько часов).
7. Выключите ваш маршрутизатор, чтобы увидеть, если он неисправен и бомбардирует вас пакетами.
8. Отключите вашу сетевую карту, чтобы увидеть, если она неисправна и бомбардирует вас пакетами.
9. Проверьте оборудование на наличие неисправного вентилятора, материнской платы или чего-либо еще.

Вот и все, я свежая из идей.