Services.exe napotkał problem i zamykanie systemu

[pkolasa]

Witam,

Mam na komputerze znajomego pewien problem. Otóż, od kilkunastu dni, na komputerze znajomego z Windows XP, wyskakuje zaraz przy starcie systemu komunikat od Windows, że services.exe napotkał problem, oferując możliwość wysłania raportu o błędach do MS lub aby tego nie wysyłać. Po kliknięciu czegokolwiek w tym oknie lub zamknięciu go, Windows wyświetla okienko o zamykaniu systemu i odlicza 60 sekund, po czym się resetuje. Tak dzieje się zazwyczaj przy włączeniu komputera, ale gdzieś po około jednym lub dwóch resetach, okienko się nie pojawia i system działa normalnie, ale jest maksymalnie (przez krótki czas po uruchomieniu) spowolniony - a w Menedżerze Zadań Windows można zaobserwować spore zużycie zasobów procesora przez services.exe właśnie oraz System równolegle. Dodatkowo, services.exe poza użyciem procesora zaczyna zabierać bardzo duże ilości RAM - rozpoczyna zużycie od 10 mega, następnie zaczyna obciążać procesor, zwiększa zużycie do ponad 2 GB, po czym spada do znowu 10 mega i już do momentu wyłączenia jest z nim spokój.

Podejrzewałem Avirę, z uwagi na to, do czego ostatnio sam producent się przyznał: http://niebezpiecznik.pl/post/avira-windowsy-ubila/ - ale pierwszy raz błąd services.exe pojawił się kilka dni wcześniej (w Dzienniku zdarzeń widzę go 8 maja - Avira pisze, że ProActiv szalał od 14 maja), a ponadto teraz po aktualizacji Aviry moduł ProActiv został wyłączony i zniknął z opcji, natomiast komunikat jak był, tak nadal jest.

Co można zrobić, żeby komputer przestał w tak dziwny sposób się zachowywać? Nie było żadnych problemów z zainstalowanymi tu aplikacjami, żadna nie generowała błędu, a tu nagle, któregoś dnia, Windows zaczął robić tego typu numery...

 

 

Dołączam logi z OTL oraz dzienniki Windows: https://www.dropbox.com/s/jwyzt8nz74wizma/Dzienniki.zip

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[picasso]

1. Na początek muszę zadać pytanie czy te wszystkie monitory / keyloggery w systemie instalowane były celowo (i nie jest wykluczone, że stanowią problem):

 

PC Tattletale (KLIK)

 

O4 - HKLM..\Run: [Winload32] C:\WINDOWS\system32\explorer32\Winload32.exe (none)

 

Ammyy Admin

 

SRV - [2012-05-06 16:41:36 | 000,722,736 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\AA_v3.exe -- (AmmyyAdmin)
[2012-05-06 16:41:36 | 000,722,736 | -H-- | M] () -- C:\WINDOWS\AA_v3.exe
[2012-05-06 16:58:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AMMYY

 

2. Dzienik zdarzeń:

 

Identyfikator zdarzenia: 26, Application Popup
Podręczne okno aplikacji: services.exe - Błąd aplikacji : Instrukcja spod "0x010097b8" odwołuje się do pamięci pod adresem "0x1007fb17". Pamięć nie może być "read".

 

Identyfikator zdarzenia: 1000, Application Error
Aplikacja powodująca błąd services.exe, wersja 5.1.2600.5755, moduł powodujący błąd services.exe, wersja 5.1.2600.5755, adres błędu 0x000097b8.

 

Zbyt ogólny błąd, nic z tego dla mnie nie wynika.

 

Identyfikator zdarzenia: 7023, Service Control Manager
Usługa Usługa przywracania systemu zakończyła działanie; wystąpił następujący błąd: 
Nie można odnaleźć określonego pliku.

 

Jest zgłaszany problem z uruchomieniem serwisów Przywracania systemu, z powodu tu wymienionego.

 

3. Wykonaj test z czystym rozruchem: KB310353.

 

 

 

.

[pkolasa]

  Cytat

1. Na początek muszę zadań pytanie czy te wszystkie monitory / keyloggery w systemie instalowane były celowo (i nie jest wykluczone, że stanowią problem): (...)

 

Tak, były instalowane celowo, aczkolwiek z Tattletale zrezygnujemy, bo to w polskich realiach niezbyt przydatne dziadostwo. Natomiast AMMYY to całkiem wygodny soft do zdalnej kontroli, który nawet fajnie śmiga. Natomiast wątpię, by to stanowiło problem, bo on działa od marca. A problem pojawił się dwa miesiące później. AMMYY także był zainstalowany wcześniej i po jego instalacji nie było problemu. Usługę AMMYY (jest jedna tylko) przestawiałem zresztą w ramach testu na wyłączony - problem wciąż był.

 

  Cytat

2. Dzienik zdarzeń:

 

Identyfikator zdarzenia: 7023, Service Control Manager

Usługa Usługa przywracania systemu zakończyła działanie; wystąpił następujący błąd:

Nie można odnaleźć określonego pliku.

 

Jest zgłaszany problem z uruchomieniem serwisów Przywracania systemu, z powodu tu wymienionego.

 

Przywracanie systemu po prostu było deaktywowane w Ustawieniach systemu. Aktywowałem ponownie. Nie wiem czemu się deaktywowało, chyba że ktoś przypadkiem to zaznaczył kiedyś.

 

  Cytat

3. Wykonaj test z czystym rozruchem: KB310353.

 

Czyli test z czystym rozruchem - wykonam dziś wieczór.

[picasso]

  Cytat

Przywracanie systemu po prostu było deaktywowane w Ustawieniach systemu. Aktywowałem ponownie. Nie wiem czemu się deaktywowało, chyba że ktoś przypadkiem to zaznaczył kiedyś.

 

Dziennik zdarzeń zgłasza, że brakuje pliku Przywracania systemu i sypie błędami w serii o niepoprawnej inicjacji usługi. Przeinstaluj Przywracanie systemu: Start > Uruchom > C:\Windows\inf > z prawokliku na plik sr.inf wybierz opcję Instaluj. Jeśli padnie pytanie o wskazanie plików, wskaż C:\Windows\ServicePackFiles, a przy braku tego katalogu należy podstawić CD XP.

 

 

 

.

[pkolasa]

  W dniu 22.05.2012 o 10:38, picasso napisał(a):

Dziennik zdarzeń zgłasza, że brakuje pliku Przywracania systemu i sypie błędami w serii o niepoprawnej inicjacji usługi. Przeinstaluj Przywracanie systemu: Start > Uruchom > C:\Windows\inf > z prawokliku na plik sr.inf wybierz opcję Instaluj. Jeśli padnie pytanie o wskazanie plików, wskaż C:\Windows\ServicePackFiles, a przy braku tego katalogu należy podstawić CD XP.

Spróbowałem. Fakt, pyta o płytę, podałem lokalizację C:\Windows\ServicePackFiles\i386, ale o ile złapał stamtąd plik sr.sys, o tyle wyskakuje komunikat, że "Instalator nie może skopiować pliku srclient.dll", pomimo tego, że plik ten jest fizycznie obecny w katalogu i daje się go wybrać z okienka Przeglądaj w tym komunikacie. Z płytą będzie problem, bo to jest Windows XP Home OEM fabrycznie z SP2 na płycie, natomiast SP3 był instalowany już później. Próbowałem przy reinstalacji systemu jakiś czas temu zintegrować z tą płytką SP3 (i przy okazji sterowniki SATA do dysku twardego, bo tak jest podpięty), ale takie kopie potem nie chciały mi przyjąć klucza OEM.

Co w takim wypadku?

 

EDIT 14:28: W dodatku jakaś paranoja aktualizacyjna. Startuję komputer teraz, aby spróbować instalacji Przywracania systemu. Za pierwszym razem po włączeniu oczywiście komunikat o błędzie services.exe i rundka resetu. Za drugim razem już błąd nie wyskoczył, ale widzę Aktualizacje automatyczne chcące coś zainstalować:

Zgodziłem się, zainstalowało, ikona aktualizacji z paska zniknęła, ale po chwili pojawiła się znowu i znowu chce instalować to samo. Zgodziłem się drugi raz, ale po chwili jest i trzeci raz.

 

EDIT 20:37: Przed wykonaniem czystego rozruchu odinstalowałem Tattletale - problem dalej był. Potem wykonałem czysty rozruch według tych porad z artykułu MS - problem z services.exe ustąpił, nie wyskakuje komunikat o błędzie ani nie zajmuje RAMu. Wyłączałem najpierw wszystkie usługi, potem włączyłem jedną połowę, następnie drugą, kolejno wszystkie programy z zakładki Uruchamianie - services.exe siedzi cicho. Zaznaczyłem więc w msconfig opcję Uruchomienie normalne, jak na początku - problem nie wrócił. Kilkukrotnie restartowałem system - też nic. Zainstalowałem znowu Tattletale na próbę - również nic się nie dzieje. Jakby samo mu po wyłączeniu i włączeniu usług przeszło.

Więc zostawałby chyba ten nowy problem z aktualizacjami, bo nadal uparcie o nie prosi.

Edytowane 22 Maja 2012 przez pkolasa

[picasso]

  Cytat

Spróbowałem. Fakt, pyta o płytę, podałem lokalizację C:\Windows\ServicePackFiles\i386, ale o ile złapał stamtąd plik sr.sys, o tyle wyskakuje komunikat, że "Instalator nie może skopiować pliku srclient.dll", pomimo tego, że plik ten jest fizycznie obecny w katalogu i daje się go wybrać z okienka Przeglądaj w tym komunikacie.

 

Podaj skan na wersje pliku srclient.dll. W OTL ustaw wszystko na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
srclient.dll
/md5stop

 

Klik w Skanuj.

 

 

  Cytat

Z płytą będzie problem, bo to jest Windows XP Home OEM fabrycznie z SP2 na płycie, natomiast SP3 był instalowany już później.

 

Płyta nie jest tu nawet niezbędna. Można obejść problem w inny sposób:

1. Pobierz instalator SP3: KLIK. Umieść bezpośrednio na dysku C.

2. Rozpakuj instalator: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP

3. Przy reinstalacji Przywracania systemu wskaż katalog rozpakowanego SP3.

 

 

  Cytat

W dodatku jakaś paranoja aktualizacyjna. Startuję komputer teraz, aby spróbować instalacji Przywracania systemu. Za pierwszym razem po włączeniu oczywiście komunikat o błędzie services.exe i rundka resetu. Za drugim razem już błąd nie wyskoczył, ale widzę Aktualizacje automatyczne chcące coś zainstalować: (...)

Zgodziłem się, zainstalowało, ikona aktualizacji z paska zniknęła, ale po chwili pojawiła się znowu i znowu chce instalować to samo. Zgodziłem się drugi raz, ale po chwili jest i trzeci raz.

 

Sprawdź czy łaty uda się zainstalować techniką lokalną z dysku: wyszukaj na Google artykuły KBXXXXXX, pobierz z nich instalatory i uruchom. Jeśli ujawnią się błędy, podaj je.

 

 

 

.

[pkolasa]

  Cytat

Podaj skan na wersje pliku srclient.dll. (...)

 

Kliknąłem w Skanuj, bo to miał być skan chyba... Log dołączony.

 

  Cytat

Płyta nie jest tu nawet niezbędna. Można obejść problem w inny sposób: (...)

 

Z tym to jak się ściągnie, bo tu niestety nie mam najszybszego łącza.

 

  Cytat

Sprawdź czy łaty uda się zainstalować techniką lokalną z dysku: wyszukaj na Google artykuły KBXXXXXX, pobierz z nich instalatory i uruchom. Jeśli ujawnią się błędy, podaj je.

 

Zainstalowane łatki z dysku, wszystkie pomyślnie, bez błędów. Podobnie jak instalacja przez Automatyczne aktualizacje. Ale po restarcie kompa monit od Windows, chcący instalować te łaty nadal obecny.

OTL_sr.TxtPobieranie informacji ...

[picasso]

  Cytat

Kliknąłem w Skanuj, bo to miał być skan chyba... Log dołączony.

 

Przepraszam, tak to miało być Skanuj. Poprawiłam w poście. Wyniki skanu: wszystkie kopie pliku są poprawne, włącznie z tą w system32 ... W takiej sytuacji radzę sprawdzić czy wszczęta (choć nie doprowadzona do końca) reinstalacja Przywracania systemu miała pozytywny skutek. Wejdź do services.msc i sprawdź status Usługi przywracania systemu, czy jest Uruchomiona, a jeśli nie, to z poziomu Właściwości sprawdź czy ręcznie jest to możliwe, czy wręcz przeciwnie (błąd "Nie można odnaleźć określonego pliku.").

 

 

  Cytat

Zainstalowane łatki z dysku, wszystkie pomyślnie, bez błędów. Podobnie jak instalacja przez Automatyczne aktualizacje. Ale po restarcie kompa monit od Windows, chcący instalować te łaty nadal obecny.

 

Wstrzymaj w services.msc usługi Automatyczne aktualizacje + Usługa inteligentnego transferu w tle. Opróżnij katalog C:\Windows\SoftwareDistribution\Download. Zresetuj system. Zainicjuj wyszukiwanie Windows Update, by sprawdzić czy te łaty się pokazują.

 

 

 

.

 

 

[pkolasa]

  W dniu 22.05.2012 o 21:30, picasso napisał(a):

Przepraszam, tak to miało być Skanuj. Poprawiłam w poście. Wyniki skanu: wszystkie kopie pliku są poprawne, włącznie z tą w system32 ... W takiej sytuacji radzę sprawdzić czy wszczęta (choć nie doprowadzona do końca) reinstalacja Przywracania systemu miała pozytywny skutek. Wejdź do services.msc i sprawdź status Usługi przywracania systemu, czy jest Uruchomiona, a jeśli nie, to z poziomu Właściwości sprawdź czy ręcznie jest to możliwe, czy wręcz przeciwnie (błąd "Nie można odnaleźć określonego pliku.").

Usługa ma status Uruchomiona. Windows przy próbie instalacji z prawokliku na sr.inf, gdy natrafił na ten błąd że nie można skopiować pliku, a ja dałem Anuluj, bo nie miałem pod ręką żadnego źródła SP3, spytał, czy kontynuować instalację z pominięciem tego jednego - ja wybrałem Nie. Ale chyba nie ma to znaczenia, skoro usługa działa?

 

  W dniu 22.05.2012 o 21:30, picasso napisał(a):

Wstrzymaj w services.msc usługi Automatyczne aktualizacje + Usługa inteligentnego transferu w tle. Opróżnij katalog C:\Windows\SoftwareDistribution\Download. Zresetuj system. Zainicjuj wyszukiwanie Windows Update, by sprawdzić czy te łaty się pokazują.

W dostępnym z IE interfejsie Microsoft Update nie ma do instalacji nic. Windows nadal zgłasza te same trzy łatki poprzez ikonę w pasku zadań.

[picasso]

  Cytat

Usługa ma status Uruchomiona. Windows przy próbie instalacji z prawokliku na sr.inf, gdy natrafił na ten błąd że nie można skopiować pliku, a ja dałem Anuluj, bo nie miałem pod ręką żadnego źródła SP3, spytał, czy kontynuować instalację z pominięciem tego jednego - ja wybrałem Nie. Ale chyba nie ma to znaczenia, skoro usługa działa?

 

Reinstalacja z sr.inf coś jednak musiała naprawić, skoro usługa teraz działa.

 

 

  Cytat

W dostępnym z IE interfejsie Microsoft Update nie ma do instalacji nic. Windows nadal zgłasza te same trzy łatki poprzez ikonę w pasku zadań.

 

Ikona na pasku sugeruje, że to jest już pobrane na dysk. Zastosuj ten Fix-it Microsoftu: KLIK. Zaznacz w nim opcję trybu agresywnego, która czyści nieco więcej niż tylko już opróżniony tu katalog. Reset systemu i zobaczymy co się wydarzy.

 

 

 

.

[pkolasa]

  W dniu 22.05.2012 o 22:17, picasso napisał(a):

Reinstalacja z sr.inf coś jednak musiała naprawić, skoro usługa teraz działa.

Czyli z tą częścią już nic nie ma do roboty?

 

  W dniu 22.05.2012 o 22:17, picasso napisał(a):

Ikona na pasku sugeruje, że to jest już pobrane na dysk. Zastosuj ten Fix-it Microsoftu: KLIK. Zaznacz w nim opcję trybu agresywnego, która czyści nieco więcej niż tylko już opróżniony tu katalog. Reset systemu i zobaczymy co się wydarzy.

Wyleczyliśmy chyba dżumę cholerą. Po restarcie Aktualizacje automatyczne nie wyświetlają już monitu, ale za to Avira IS 2012 zgłasza nieaktywną ochronę sieci i maila. I nie da się tego włączyć, bo przełączniki tych dwóch ma zamiast takiego charakterystycznego kółeczka (symbolizującego 0) ikonkę X. Wygląda to mniej więcej tak, jak komponenty Web i Mail Protection w sekcji Internet Security, a normalny wyłączony jest taki jak Child Protection:

Parasol w pasku zadań też jest "zwinięty" (chociaż FireWall i Realtime Protection są uruchomione).

W podglądzie zdarzeń, dla usługi Avira Mail Protection widoczny jest taki błąd:

natomiast dla Avira Web Protection nie ma błędów, za to tylko dwie powyższe wiadomości przy każdej próbie uruchomienia:

.

 

EDIT: Ponieważ właściciel bał się korzystać z komputera z Avirą zgłaszającą brak ochrony, to pokombinowałem trochę na własną rękę i dotarłem do takich rad: http://forum.avira.com/wbb/index.php?page=Thread&postID=1173972#post1173972 - wykonałem je i otrzymałem niedziałający FireWall, ale po restarcie wszystko zaczęło działać właściwie - a przynajmniej Avira nic nie zgłasza. Także, jeśli tamte kroki nic mi w systemie nie zepsuły (chodzi o reset Winsock), to temat chyba można zamknąć i dziękuję serdecznie za pomoc, picasso!

Edytowane 23 Maja 2012 przez pkolasa

[picasso]

  Cytat

Czyli z tą częścią już nic nie ma do roboty?

 

Wyraźnie twierdzisz, że Usługa przywracania systemu jest uruchomiona, więc tak.

 

 

  Cytat

Avira IS 2012 zgłasza nieaktywną ochronę sieci i maila. I nie da się tego włączyć (...) dotarłem do takich rad: - wykonałem je i otrzymałem niedziałający FireWall, ale po restarcie wszystko zaczęło działać właściwie - a przynajmniej Avira nic nie zgłasza. Także, jeśli tamte kroki nic mi w systemie nie zepsuły (chodzi o reset Winsock)

 

Jeśli rzecz o resecie Winsock, to wyzerował wpięcie Avira:

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

 

Aczkolwiek drugi krok z linkowanej instrukcji to reinstalacja komponentów Avira opcją Zmień, co zapewne uzupełniło uszczerbek.

 

 

Temat rozwiązany. Zamykam.

 

 

 

.