我是Windows的(快乐?)用户,但最近遇到了我不知道如何跟踪的问题。
我有一个WinXP plus家庭和工作Win2k3系统。他们中的一些人在很短的时间内(从不到一秒钟到几秒钟)不时地冷冻。没有CPU使用率峰值,也没有多少HDD活动。 Process Explorer和Windows任务管理器都不会显示任何可疑进程。服务看起来还不错。
在其中一台计算机上,拖放(在资源管理器窗口或窗口和应用程序中)冻结机器10-20秒。在这段时间之后,我可以继续使用drag&一段时间(没有延迟)下降。不要以为它是病毒 - 它可能很容易感染所有机器。
我怎么知道我的系统发生了什么?
更新:感谢您的建议。我在其中一台机器上解决了这个问题 - 这是一个令人讨厌的rootkit。我需要使用第三方工具来检测和删除它。如果没有这个工具我怎么诊断呢?
答案 0 :(得分:1)
这很可能不是故障硬件。
在Windows上,偶尔会在系统范围内向所有顶级窗口广播消息。如果窗口没有响应(或响应缓慢),则整个系统将显示为冻结。有一个内置的超时,如果超过,系统将假定窗口不响应它跳过窗口(这可能是你看到的10-20秒延迟,虽然我认为超时是一个比这还高一点。)
我还没有看到跟踪这类问题的解决方案。您可以通过创建一个程序来进行实验,该程序将单个消息发送到每个顶级窗口并记录每个响应所花费的时间。这不是故障保护,但它是一个起点,这是(如果我没记错的话)我用来识别Adobe的iFilter(用于Microsoft索引服务)这样的问题的技术。
但在你走这条路之前,你说这些是最近的问题。看看你是否可以找出最近安装的内容,然后将其卸载。这包括Windows补丁以及任何新的驱动程序或应用程序。
答案 1 :(得分:1)
您是否能够将其与症状开始时的粗略时间框架挂钩?如果是这样,您可以将添加/删除程序中的关键更新/安装与该估计相匹配,然后开始查看。
更一般地说,我发现使用MSCONFIG暂时关闭所有启动程序,并且所有非Microsoft服务都可以帮助快速分裂和征服 - 如果症状消失,您可以使用更短的列表。
安全模式(有或没有网络 - 见下一个想法)是缩小嫌疑人名单的另一种方法。
由于它是多台机器,如果它是硬件,它必须是常见的......特别是如果它是两个不同的位置。也就是说,网络连接(或缺乏网络连接)是另一个常见的罪魁祸首。在独立配置中启动系统(禁用网线未插入/无线电)一开始看起来非常慢,然后一旦超出超时和各种重试,就应该拉链,特别是如果你仍然在有限的启动环境中运行。我有顽固的交换机/路由器是一个问题,以及缓慢的外部服务(如ISP的DNS)导致这样的症状。
那时没有软盘,光纤或其他可移动驱动器访问?
答案 2 :(得分:1)
我建议使用一种工具,可以显示在应用程序中访问的文件,COM对象和网络地址: http://www.moduleanalyzer.com/
您可以看到使用每个资源的dll以及访问时间的时间。 Windows减速的问题通常与在进程中运行某些人员的进程中运行的dll有关。 在这些情况下,您不会在从Process透视图监视的工具中看到任何内容。您需要查看流程中发生的事情,以查看任何可疑的dll或模块。 此工具使用调用堆栈信息来查看正在访问资源的模块。
尝试具有全功能试用版的应用程序。
答案 3 :(得分:0)
根据我的经验,您可能有一个有缺陷的硬件,可能是您的HD。如果您连接到网络共享(SMB)并且存在可能导致挂起的连接问题。拖放缓慢一般指向“资源管理器”进程挂起,用于与网络资源通信的相同进程(例如文件共享)。
答案 4 :(得分:0)
要诊断rootkit或其他恶意软件使用的活动或渗透,您可以查看Bleeping Computer上的论坛,其中一些帮助人们删除的志愿者可能愿意帮助您找出去哪里看看对于这种感染。
我最近通过该网站上的专家帮助清理了一些恶意软件,我还需要使用第三方工具(在我的案例中为Malwarebytes)删除,但恶意软件相对较新,因此该工具无法使用彻底清理这些东西,直到最新的定义更新发布。
我仍然不知道如何或在何处确切地查看给定系统中的此类感染,但该网站可能会将您与具有该专业知识的人联系起来。只要您强调您正在寻找能够追踪此类而不是为了编写您自己的恶意软件的目的,我希望他们能够接受您的请求。