Dịch vụ tường lửa Windows 7 tiêu thụ tất cả CPU

Tôi có Windows 7, 64 bit, được cài đặt trên hai máy tính: Dell Dimension 5150 và Dell Latitude D830 của tôi.

Nắm bắt ngày nay là thế này:

Đôi khi tôi nhìn vào điều sử dụng CPU của tôi và tôi thấy một cái gì đó như thế này:

Trên Kích thước 5150 của tôi, trạng thái này có thể tiếp tục, không bị gián đoạn trong nhiều giờ. Sau một khoảng thời gian nhất định tôi cảm thấy khó chịu vì nó (vì phiên bản VMware Server được cài đặt trên nó bắt đầu mất dần thời gian nếu máy chủ vẫn ở trạng thái này quá lâu) và tôi khởi động lại máy tính để biến mất.

Trên Latitude D830 của tôi, nó đến và đi và đến và đi. Nó dường như không tạo ra bất kỳ sự khác biệt nào về việc tôi kết nối với mạng nào, tôi đang làm gì trên máy tính, cho dù tôi có cập bến hay không ...

Vì vậy, tôi đưa lên trình quản lý tác vụ và tôi thấy điều này:

OK, vì vậy người vi phạm chính là một số thứ Svchost.exe đang nổi điên. Vì vậy, tôi nhấp chuột phải vào đối tượng svchost và chọn Chuyển đến Dịch vụ. Điều này đưa đến các dịch vụ dựa trên DLL được liên kết với thể hiện svchost này. Tôi thấy điều này:

Điều này cho tôi biết rằng đây là những người phạm tội (được viết ra vì lợi ích của Google):

• MpsSvc "Tường lửa Windows"
• DPS "Dịch vụ chính sách chẩn đoán"
• BFE "Công cụ lọc cơ sở"

Trên máy tính để bàn, nó đang can thiệp vào máy chủ VMware; trên máy tính xách tay nó đang giết chết tuổi thọ pin của tôi. Tôi có thể đi 4-5 giờ trong một lần sạc; khi các dịch vụ này phát điên, tôi may mắn nhận được 2.

Tôi đã cài đặt phiên bản Symantec Endpoint trên các máy tính này, v11.0.4202.75.

Tôi thực sự muốn biết lý do tại sao MpsSvc, DPS và / hoặc BFE quyết định hoảng loạn và đưa máy tính của tôi xuống với họ.

Bất cứ ai có thể cho tôi bất kỳ gợi ý?

Wireshark cuối cùng chạy trên Windows 7 64-bit và tôi tìm thấy câu trả lời của mình.

Khi chạy wireshark trong một trong những sự cố này trên máy tính xách tay của tôi, màn hình Interface Capture cho thấy Bộ điều hợp T9-Win32 V9 của tôi đang tích lũy các gói với tốc độ rất cao.

Chụp giao diện đó cho thấy các gói là một chuỗi các yêu cầu DHCP: Khám phá, Ưu đãi, Yêu cầu, NAK - tất cả đều chạy trong 0,0159 giây và sau đó lặp lại.

Trong trường hợp đặc biệt cao này, mạng con (và giao diện, khi phản chiếu) là mạng con được sử dụng bởi ứng dụng khách OpenVPN được cài đặt trên máy tính xách tay của tôi. Trong một số trường hợp khi không cho phép, đặc biệt là khi không truy cập vào mạng không dây, ứng dụng khách OpenVPN sẽ "kết nối" và sau đó bị xáo trộn trong khi cài đặt mạng đang ổn định. Tôi thường xuyên phải ngắt kết nối, sau đó kết nối máy khách OpenVPN để sử dụng nó.

Ghi nhớ tất cả những điều này, tôi đã ngắt kết nối và kết nối lại máy khách OpenVPN. Điều này ngay lập tức được thưởng bằng một chuỗi DHCP Discover-Offer-Request-Request-Ack theo sau là tiếng ồn thông thường mà Windows gửi dọc theo các kết nối mạng. Quan trọng hơn, việc sử dụng CPU ngay lập tức chấm dứt.

Hệ thống máy tính để bàn liên quan cũng có một máy khách OpenVPN được cài đặt trên nó và có lẽ cũng là nguồn gốc của những vấn đề đó.

Không biết nguyên nhân chính xác, nhưng khi thành phần BFE của svchost bắt đầu ăn cắp cpu, hành động đúng là khởi động lại tường lửa của windows (từ services.msc). Nếu bạn cố gắng khởi động lại BFE, rất có thể nó sẽ không thành công.

Mới gặp vấn đề này 5 phút trước, tôi cũng đang dùng Win7-64. Không cần khởi động lại, mặc dù tôi cũng đã vô hiệu hóa / kích hoạt card mạng của mình từ devmgmt.msc, giống như một biện pháp phòng ngừa (nó thường giúp ích đáng ngạc nhiên với các vấn đề về card mạng khác nhau).

Có nhiều chủ đề về vấn đề này trên các trang web của Microsoft nhưng không có bất kỳ giải pháp nào (và tôi đang trả lời bài viết 3 năm tuổi!).

Đây là danh sách những thứ mà bạn có thể kiểm tra (không phải là giải pháp).
Tạo một điểm khôi phục hệ thống trước khi tiếp tục.

1. Kiểm tra Trình xem sự kiện để biết lỗi hệ thống bất thường
2. Kiểm tra Trình xem sự kiện để biết các lỗi Tường lửa bất thường: trong ngăn bên trái, nhấp vào Nhật ký ứng dụng / Dịch vụ / Microsoft / Windows / Windows Firewall với Advanced Security / Firewall.
3. Bật ghi nhật ký tường lửa như đã giải thích đây . Kiểm tra nhật ký cho các công cụ hài hước.
4. Sử dụng TCPView để xem có chương trình nào đang mở các cổng lạ (hoặc đang cố gắng) không.
5. Sử dụng Tự động chạy để kiểm tra khởi động hài hước. Bạn có thể với nó lưu trạng thái hiện tại và sau đó chọn lọc tắt một số chương trình khởi động để xem điều này có thay đổi gì không. Sau đó bạn có thể trả lại tình huống.
6. Quét bằng nhiều chương trình chống vi-rút. Bạn có thể sử dụng máy quét trực tuyến từ các công ty nổi tiếng (mỗi mất vài giờ).
7. Tắt bộ định tuyến của bạn để xem nếu nó bị lỗi và bắn phá bạn với các gói.
8. Vô hiệu hóa card mạng của bạn để xem nó có bị lỗi không và bắn phá bạn bằng các gói.
9. Kiểm tra phần cứng cho một quạt hoặc bo mạch chủ bị lỗi hoặc người khác.

Thế là xong, tôi mới ra ý tưởng.

Trong mạng LAN của tôi tại nơi làm việc, tôi đã giải quyết bằng cách gia hạn địa chỉ IP của mình bằng ipconfig /renew. Tôi nghi ngờ đây có thể là một cái gì đó liên quan đến đình chỉ / ngủ đông.

Trong trường hợp của tôi, dịch vụ Chia sẻ kết nối Internet (ICS) bị kẹt trong trạng thái "Bắt đầu".

Mở hộp thoại Run (Windows + R) và nhập khóa services.msc mở Services, tìm Chia sẻ kết nối Internet (ICS) và vô hiệu hóa nó.

Khởi động lại và tận hưởng :).