svchost - pad procesu
Hezky vecer,
Problem se tyka WinXP a sluzby svchost.exe. Od jiste doby (tak tyden zpet, duvod mi unika) v rozsahu 24 - 48 hodin (PC bezi nonstop) dojde k hlasce o nemoznosti operace "read" s pameti na adrese atd... HW pocitace je v poradku, vcetne RAM (dodavam jen pro uplnost, protoze tahle hlaska je stejne zpravidla SW puvodu, navic kdyz se projevuje jen u jedne aplikace). Dale vir nemam, zadny aktivni spyware ci neco jineho take ne, a nikdy jsem ani nemel nic co by mi nejak rozhazelo system (instalace je stara asi rok a pul, provadim vicemene rucni udrzbu bez nejakych radoby tweakovacich nastroju atp). Opsal jsem si tedy ze Spravce uloh PID vsech svchostu, ktere bezi a pockal na dalsi chybovou zpravu:
1120 Network s.
1076 System
1040 Network s.
992 System
Vzdy jakmile nastane popsana chyba a odkliknu chybove hlaseni, ukonci se proces s PID 1076. Vim, ze PID je po kazdem startu odlisne, ale jednu dobu jsem vedel jak pomoci nej vypatrat konkretni soubor (slo to nejak pres prikazovou radku, bohuzel uz si to nepamatuji).
Krome ukonceni procesu pri chybe vizualne pozoruju restart motivu vzhledu XP a kazdopadne, nefunguje internet (mam ADSL USB modem ZyXEL). Tvari se to, ze jsem pripojeny, ale nefunguje zadny prenos, dokonce se ani neodpojim. Pokud manualne spustim svchost znovu, proces se sice spusti, ale s internetem si nepomuzu ...reseni je pouze restart.
V Prohlizeci udalosti odpovida memu problemu hlaseni "Místní nabídka aplikace: svchost.exe - Chyba aplikace : Nastala výjimka neznámá softwarová výjimka (0xc0000409) v aplikaci na místě 0x6727a3c0."
Dale nasleduji dalsi zaznamy, ktere nejspise souvisi s padem daneho svchost procesu:
"Služba Motivy byla nečekaně ukončena. Stalo se to 1 krát. Následující opravná akce bude spuštěna za 60000 milisekund: Restartovat službu."
...totez se sluzbou Systemovy cas a WMI
Kazdopadne tohle je uz jen reakce na pad svchostu (vc.nef. internetu atd), otazkou zustava proc svchost pada.
diky za pripadne rady
Hláška "Došlo k překročení limitu možného počtu souběžných připojení protokolem TCP" typicky je příznakem nějakého červa. Jedná se o ochranu v SP-2, která zamezí více než deseti souběžným TCP/IP spojením směrem ven.
V procesu svchost může být registrována celá řada služeb. Blokovat síťový přístup aplikačním firewallem, který rozezná pouze název procesu ale ne již registrované služby je s odpuštěním ptákovina (více jsem o tom psal v http://pc.poradna.net/question/view/45566-jaky-fire wall), potřebuješ firewall který zastaví všechen provoz abys otestoval co ti bylo razeno výše (deny any from any).
Můj osobní tip je, že používáš nějakou P2P aplikaci nebo download manažer, které se nechovají zrovna OK, případně nějaký ten červík.
Diky za reakci, ja nevim nakolik sis to tady procital, ale uvadel jsem, ze v dobe hlasky o prekroceni spojeni jsem stahoval pres torrent (konkrentne aplikace uTorrent), coz podle mne ma souvislost. Vim, ze aplikacni FW na user urovni neni vselek... Cervika ci jineho vika uz hledam i v laku u case, ale bohuzel... Co se tyce nekorektne se chovajicich aplikaci, tak budiz, ale zase ...z niceho nic? ...proctu si jeste forum, na ktere jsi dal odkaz
V pripade stahovania cez torrent sa da taka hlaska ocakavat, cerv to teda asi nebude.
S padom svchostu to asi nic nema.
jo, myslim si to same ...
Mozna tak trochu mimo tema. Zajimalo by mne co si myslite o teto hlasce z evetlogu:
Služba DCOM zjistila chybu Zvolenou službu nelze spustit, protože není povolena nebo s ní není spojeno žádné povolené zařízení. při pokusu o spuštění služby StiSvc s argumenty za účelem spuštění serveru:
{A1F4E726-8CF1-11D1-BF92-0060081ED811}
. ..tohle se mi tam objevuje i nekolikkrat za hodinu (ale je to uz od skonani sveta, takze za pricinu sveho soucasneho problemu to moc nepovazuju). Je to mozna tim, ze mam rucne zakazanu sluzbu "Nacitani obrazku (WIA)". Jedna se o sluzbu, ktera spravuje skenery/fotoaparaty, resp. zajistuje aby s nimi dokazal system pracovat bez pouziti jineho SW. Mam tuto sluzbu zakazanou i presto ze mam skener, protoze pouzivam vlastni SW (od HP). Kazdopadne k zakazani sluzby mne vedlo predevsim to, ze pri pripojenem skeneru mi zral neustale jeden svchost proces 2% z CPU (v podstate konstantne natvdro). Tak jsem si vyhledal ktera sluzba je na tom svchostu navesena a mimojine to bylo prave "Nacitani obrazku (WIA)", ktere zralo 2% z CPU (pouze pri pripojenem skeneru). Tak jsem si rekl, ze zas neco Majkrosoft nedomyslel a tu sluzbu jsem proste zakazal, stejne mi je k nicemu. Ovcem pokud se podivam na ten zaznam z eventu co jsem tady pastnul, tak uvedeny "StiSvc" (ktery se to asi snazi spoustet) ma udajne co docineni prave se skenery a podobnymi zarizenimi. Je to zvlastni, protoze ve sluzbach nemuzu tento soubor ani nalezt a zakazana sluzba "Nacitani obrazku (WIA)" ma v popisu tohle: "svchost.exe -k imgsvc" a ne nejaky "StiSvc". Navic mne zarazi, proc se vubec neco takoveho snazi tak nejak samovolne z nudy (?) spoustet.
...no, pokud se s tim co jsem ted napsal nekdo bude obtezovat tak diky
pokial tu sluzbu nepouzivas a ani neplanujes, tak ju mozes rovno zmazat prikazom z command line:
sc delete nazov_sluzby
No, ja nevim, ale moje teorie je takova, ze DCOM se snazi spustit StiSvc, ale nasledne zjisti, ze je zakazana a tak se zapise hlaska do eventlogu. Smazanim se podle mne nic nevyresi, leda ze by ten prikaz cos napsal sluzbu ze systemu i nejak "odhlasil". Kazdopadne je divne, proc se DCOM pokousi o spusteni zakazane sluzby ...to by zas vypadalo na to, ze MS neco nedomyslel. DCOM by snad mohl vedet ze sluzbu nespusti, tak proc se o to vubec snazi? ...navic v uplne nesmyslnych intervalech (nekdy v rozestupu vterin, jindy pulhodiny...)
sc delete rovno odregistruje sluzbu. v ludskej reci, vymaze zaznamy v registroch.
ok, diky, zkusim to
btw., keby si si zase pre zmenu niekedy v buducnosti chcel tuto sluzbu znovu zaregistrovat, tak tu vysvetlujem, ako sa to robi konkretne pre Apache - http://pc.poradna.net/question/view/14081-no-instal led-service-named-apache-2
ok, diky ... zatim to vypada, ze DCOM uz da pokoj
..ted jen zkousim a cekam, co vymyslim s tim svym hlavnim problemem 
stisvc je WIA. Vo vlastnostiach sluzby je jej interny nazov hned hore.
Diky za info .. jinak tohle je uz vyreseno (viz posledni odpoved pro IgorK).
...tomuto fakt nerozumím, ale napadlo mě:
...co zvýšit počet TCP/IP spojení?
info: www.lvllord.de
download: www.lvllord.de
jo, to uz jsem si nasel .... ale jak rika x22, muj problem se svchostem to asi nezpusobuje. ..kazdopadne to zkusim
mna napadlo co tak logovat tcp spojenie cez tcpdump? a dalsou vecou ktoru by som skusil vymenit usb modem za dsl router
ten log zkusim...
co se tyce vymeny USB modemu ...vim ze USB modem je pekna prasecina, ale muj problem se svchostem (stary tyden) to nevyresi, kdyz USB modem mam uz dva roky a nikdy se nic nepatricneho nedelo.
A co si robil/menil/instaloval/odinstaloval pred tyzdnom?
no praveze nic .. to je ta "sranda"
ako vies ze nevyriesi? min dostanes privatnu ip adresu a router ta bude chranit pred priamymi utokmi z netu. usb modem je fakt chujovina
Ja s tebou souhlasim, ale vim, ze odstraneni USB modemu problem nevyresi ...protoze to NIJAK nesouvisi a je to nesmysl uz proto co jsem ti napsal vyse. Nemam duvod ted zase cpat litr do routeru abych ho treba za pul roku posilal k certu, treba kvuli zmene technologie pripojeni.
Tak potom sa asi len dobija k tebe nejaky vir (nahodnym scanovanim IP), a ak trafi tvoju tak zleti svchost alebo kerio. Bud patch do win alebo iny FW. Alebo co pise fleg, USB je chujovina (aj ked to nemusi zrovna sposobovat teraz ten problem).
k modemu viz odpoved pro flega, jinak pokud nekoho nenapadne neco noveho, tak pockejte az to trochu otestuju, resim to, ja tady info prubezne reportnu, ale bohuzel je to trochu beh na dlouhou trat
(uz kvuli tomu ze k padu dojde tak po 1 - 2 dnech) ...dokud neprojdu vsechny pravdepodobne moznosti ktere shazuji svchost, tak nema cenu meditovat nad tema mene pravdepodobnyma, jako je v tomto pripade treba USB modem
btw: s tim virem to tezko rict... nicmene uz jsem nahodil FW z SP2 a kerio nebezi, takze jak rikam, treba vyckat
INFO: co se tyce obcasne hlasky v eventu "Došlo k překročení limitu možného počtu souběžných připojení protokolem TCP.", tak to ma 100% na svedomi uTorrent. Zrejme dojde k navazani vice spojeni i v ramci jednoho stahovaneho souboru (coz je u torrentu logicke). Pouziti jineho SW tezko povede k jinemu vysledku... jedine mozne reseni jak hlasky eliminovat je tedy asi popsano zde: http://www.infojet.cz/view.php?cisloclanku=20050127 01
...kazdopadne muj problem s svchostem s timhle tezko souvisi, zatim zkousim
VYRESENO: Takze po vice nez mesici prichazim s rozresenim
...problem byl zrejme v tom, ze se cosi dobyvalo do PC pres nejakou diru v XP, coz nasledne zpusobilo pad svchostu. Soudim tak, protoze pomohl aktualni balicek zaplat (k 11. 10. 2006), ktery jsem si stahl zde na poradne http://pc.poradna.net/question/view/30920-zaplaty-p ro-windows-xp-sp2-rok-2006 od MM_tanka, cili jemu i vsem co se na tehle fajn veci podileji patri velke diky a samozrejme i vsem co zde se mnou meli trpelivost 