Странная активность svchost.exe (LocalServiceNetworkRestricted)

[3kilos]

Доброго времени суток!

 

Сегодня заметил, что процесс svchost.exe (LocalServiceNetworkRestricted) обращается к двум файлам lastalive0.dat и lastalive1.dat. Обращение характеризуется записью от 2 до 20 байт/c. При этом дата изменения файлов указанна та, которая была при включении или перезагрузке компьютера. Раньше такого не замечал, поскольку периодически наблюдал в мониторинге за активностью диска.

 

Больше не заметил каких-либо изменений в работе компьютера.

Жесткий диск пока еще не проверял на бэды, но проверка от мая этого года ничего не выявила.

Смарт диска.

Единственное, что вчера сделал, так это выполнил синхронизацию Firefox на андроиде с десктопной версией.

 

Подскажите, пожалуйста, в чем может быть проблема и как это исправить, и проблема ли это вообще?

 

ОС: Windows 7 x64 Ultimate, антивирус: Kaspersky CRYSTAL.

 

 

[SQ]

Здравствуйте,

Покажите пожалуйста результат следующей команды в командной строке (cmd.exe):
 

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability"

[3kilos]

Выполнил.

C:\Windows\system32>reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur
rentVersion\Reliability"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability
    TimeStampInterval    REG_DWORD    0x1
    LastComputerName    REG_SZ    ALEKSEY-PC
    DirtyShutdown    REG_DWORD    0x1
    DirtyShutdownTime    REG_BINARY    E007050002001F00070032000400AE01
    LastRestoreId    REG_SZ    {6133A2CE-D92D-4031-B200-4B83D88B37C8}
    6005BT    REG_BINARY    BAF67AF31DFDD101
    LastAliveStamp    REG_BINARY    D0BAAD0B

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\MemoryD
iagnostic
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\shutdow
n
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\Srt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\UserDef
ined
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\WinRE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability\RunHist
ory

C:\Windows\system32>

[SQ]

Соберите пожалуйста GSI-отчет, закачайте на файловое хранилище (например: google диск, yandex диск и т.п.) и приложите ссылку для скачивания.

[3kilos]

Сделал.

https://yadi.sk/d/p6aoRd49uRUta

[SQ]

Прямая ссылка на GSI-отчет - http://www.getsysteminfo.com/read.php?file=f8d12f8c1e01fa4ebb9c3862a98c3505

Уточните пожалуйста в режиме чистой загрузки проблема воспроизводиться?

[3kilos]

Похоже сохранилась проблема. Все также происходит поочередно запись в файлы до 20-40 байт/c.

 

После загрузки компьютера, примерно спустя 1 минуту svchost.exe (LocalServiceNetworkRestricted) начинает чтение различных файлов на компьютере и не только на диске C, чтение идет со скоростью до 20 мбайт, и продолжается это около 40 секунд. Но такое и до сегодняшнего дня всегда было .  А вот с файлами lastalive0 и 1 впервые.

 

Вчера еще странно Кристал обновлял антивирусные базы, несколько раз запускал обновление, причем один раз, когда была запущенна игра в полноэкранном режиме.

[SQ]

1) В безопасном режиме с сетевыми настройками также воспроизводиться проблема?

2) Если отключить временно службу журналов, проблема также воспроизводить?
 

Net Stop Eventlog 

P.S. Есть подозрения на повреждение файлов журнала в следующем каталоге:
 

C:\Windows\System32\winevt\Logs

[3kilos]

Загрузился в безопасном режиме с поддержкой сетевых драйверов и все также была активность svchost.exe (LocalServiceNetworkRestricted).

Потом тут же отключил службу журналов и активность svchost,exe пропала.

Пытался отключить службу журналов в обычном режиме, но выдает "ошибка 5, отказано в доступе", хотя учетная запись администратора.

[andrew75]

Попробуйте просто очистить журналы.

[SQ]

Потом тут же отключил службу журналов и активность svchost,exe пропала.

Пытался отключить службу журналов в обычном режиме, но выдает "ошибка 5, отказано в доступе", хотя учетная запись администратора.

Сохраните файлы журналов каталога, где нибудь для того чтобы можно было откатить, в случае не предвиденных проблем:

C:\Windows\System32\winevt\Logs

После сохранения, очистите указанный выше каталог и перегрузите ПК, сообщите о проблеме?

[3kilos]

А как правильно и лучше очистить журнал?

[SQ]

А как правильно и лучше очистить журнал?

 

Приостановите службу Журналов, для этого в командной строке (cmd.exe) выполните:

Net Stop Eventlog

Далее удалите все файлы в следующем каталоге, предварительно сохранив где-нибудь для отката:

 

C:\Windows\System32\winevt\Logs

Перегрузите ПК.

[3kilos]

И очищать ли Журналы приложений и служб?

Не получается остановить эту службу.

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Windows\system32>Net Stop Eventlog
Следующие службы являются зависимыми от службы "Журнал событий Windows".
Останов службы "Журнал событий Windows" приведет также к останову этих служб.

   Планировщик заданий

Продолжить операцию? (Y-да/N-нет) [N]: y
Системная ошибка 5.

Отказано в доступе.


C:\Windows\system32>

[SQ]

И очищать ли Журналы приложений и служб?

нет, со службой журналов манипуляции кроме, как остановка выполнять ничего не нужно.