PF usage te hoog.

Status
Niet open voor verdere reacties.
joris78

joris78

Gebruiker
Lid geworden
18 jun 2008
Berichten
10
Beste netwerkspecialisten,

Als bijlage heb ik een screenshot gestuurd.
Het is op eenWindows Small Business Server 2003. Draait nu op Service pack 2. Intel Pentium 4CPU. 2.8GHz 3,82 RAM.

Heb al alle automatische updates van Mirco$oft gedownload en geinstalleerd, maar geen resultaat.
Heb meer interngeheugen geplaatst, maar geen resultaat. (was 2 nu 4 Gig.)

Het virtuele geheugen staat nu op: c: 3000 - 4095
In de regedit onder memory management: c:\pagefile.sys 3000 4095

Iemand een idee?
 

Bijlagen

  • Processes.jpg
    Processes.jpg
    95,2 KB · Weergaven: 39
  • TaskManagerPerformance.jpg
    TaskManagerPerformance.jpg
    101,8 KB · Weergaven: 35
Hmm... dit ziet er vreemd uit...
Enkele bevindingen:
1. Bijna alles wordt in VM (=pagefile) opgeslagen, want fysiek is er maar liefst 2.6 GB vrij (2de plaatje: Physical memory -> available
Duidt erop dat maar een klein deel écht direct nodig is, en de rest wordt 'geparkeerd' in VM.
De vraag is natuurlijk hoe het kan dat er zoveel VM-geheugen nodig is.. (zie 2.)
2. De hoeveelheid VM-geheugengebruik is waanzinnig hoog, zo lijkt het.. Zoveel processen die meer dan 1/2 GB VM-geheugen gebruiken lijkt mij niet normaal.

Tsja... waar dat dan aan ligt is zo snel niet te zien... Eerste gedachte die ik zou hebben is dat er een virus, trojan of iets dergelijks op je systeem aanwezig is.

Wat je zou kunnen doen is:
1. Download en draai Process Explorer, en laat verifieren of de executables (bijv. dns.exe, svchost.exe etc.) wel door Microsoft ondertekend zijn. [Helaas zijn niet alle originele executables ondertekent, maar je zou toch minstens een paar 'boosdoeners' moeten kunnen verifieren. Desnoods vraag je iemand die een normaal werkende SBS 2003 server heeft hetzelfde voor je te doen, zodat je weet welke .exe bestanden ondertekend zouden moeten zijn.
2. Kijk in Process Explorer wat de de 'boosdoeners' nu aan het doen zijn. Rechstklik op zo'n proces, en kies Eigenschappen. Kijk in tabblad Threads en Stack.
Probeer dat te vergelijken met iemand die een normaal werkende SBS2003 server heeft.
3. Kijk in Process Explorer bij de eigenschappen van een boosdoener in het tabblad Strings, en klik daar op Memory. Kijk of je uit de getoonde strings kunt halen of er malware actief is of niet.
4. Scan op malware en virussen. Doe dit zowel op de server als op de werkstations in je netwerk.

Meer tips zo snel niet bij de hand voor je. Hopelijk heb je er wat aan.

Tijs.
 
Tijs,

Ik kan nergens een handleiding voor Process Explorer vinden.
Als ik naar svchost.exe kijk staat er een lijn met een rode kleur. Via Threads en Stack krijg ik de volgende melding:

ntoskrnl.exe+0x397ea
ntoskrnl.exe+0x3df9e
ntoskrnl.exe+0x50675
ntoskrnl.exe+0x40720
ntoskrnl.exe+0x3df9e
ntoskrnl.exe+0x1d7626
win32k.sys+0x9ab43
win32k.sys+0x9b306
win32k.sys+0x9d3a2
ntoskrnl.exe+0x33bef
ntdll.dll!KiFastSystemCallRet
wmiprvse.exe+0xa98b
wmiprvse.exe+0xc367
wmiprvse.exe+0xc465
wmiprvse.exe+0x23802
kernel32.dll!ProcessIdToSessionId+0x209

Zegt jou dit wat?

Joris
 

Bijlagen

  • procexp.jpg
    procexp.jpg
    99,2 KB · Weergaven: 44
Er stonden nog veel meer tips in mijn discussiedraad, dus eerst die maar eens doen.
Erg vervelend dat er altijd maar op 1 tip wordt gereageerd, terwijl er meer gegeven zijn...

M.b.t. tutorial Process Explorer e.a.: hier een hele sessie van de maker om het pakket te leren gebruiken. Zal geheid de optie om de 'handtekeningen' in de .exe bestanden te checken in staan, en ook het gebruik van Strings.

Succes ermee,

Tijs.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan