Layanan Windows 7 Firewall mengkonsumsi semua CPU

Saya memiliki Windows 7, 64-bit, diinstal pada dua komputer: Dell Dimension 5150 saya, dan Dell Latitude D830 saya.

Keluhan hari ini adalah ini:

Kadang-kadang saya melihat thingie penggunaan CPU saya dan saya melihat sesuatu seperti ini:

Di Dimensi 5150 saya, keadaan ini bisa berlangsung, tanpa gangguan, selama berjam-jam. Setelah beberapa waktu saya merasa terganggu olehnya (karena instance VMware Server yang diinstal di atasnya mulai kehilangan waktu jika host tetap dalam keadaan ini terlalu lama) dan saya reboot komputer untuk membuatnya hilang.

Pada Lattitude D830 saya, ia datang dan pergi dan datang dan pergi. Tampaknya tidak ada bedanya dengan apa jaringan saya terhubung, apa yang saya lakukan di komputer, apakah saya merapat atau tidak ...

Jadi saya membuka task manager, dan saya melihat ini:

OK, jadi pelaku utama adalah beberapa hal svchost.exe yang akan mengamuk. Jadi saya klik kanan pada instance svchost dan pilih Pergi ke Layanan. Ini memunculkan layanan berbasis DLL yang terkait dengan instance svchost ini. Saya melihat ini:

Ini memberi tahu saya bahwa ini adalah pelanggar (ditulis untuk kepentingan Google):

• MpsSvc "Windows Firewall"
• DPS "Layanan Kebijakan Diagnostik"
• BFE "Mesin Penyaring Dasar"

Pada desktop itu mengganggu server VMware; pada laptop itu membunuh masa pakai baterai saya. Saya bisa pergi 4-5 jam dengan sekali pengisian; ketika layanan ini panik saya beruntung mendapatkan 2.

Saya memiliki versi Symantec Endpoint yang diinstal pada komputer ini, v11.0.4202.75.

Saya benar-benar ingin tahu mengapa MpsSvc, DPS, dan / atau BFE memutuskan untuk panik dan menurunkan komputer saya bersama mereka.

Adakah yang bisa memberi saya petunjuk?

Wireshark akhirnya berjalan pada Windows 7 64-bit, dan saya menemukan jawaban saya.

Saat menjalankan wireshark selama salah satu insiden ini di laptop saya, layar Interface Capture menunjukkan bahwa TAP-Win32 Adapter V9 saya mengumpulkan paket pada tingkat yang sangat tinggi.

Menangkap antarmuka itu menunjukkan bahwa paket adalah urutan permintaan DHCP: Discover, Offer, Request, NAK - yang semuanya berjalan dalam 0,0159 detik dan kemudian diulang.

Dalam kasus yang sangat spesifik ini, subnet (dan antarmuka, setelah refleksi) adalah salah satu yang digunakan oleh klien OpenVPN yang diinstal pada laptop saya. Dalam beberapa kasus ketika tidak ditangguhkan, terutama saat tidak ditangguhkan ke jaringan nirkabel, klien OpenVPN "menghubungkan" dan kemudian menjadi kacau ketika pengaturan jaringan sedang diselesaikan. Saya sering harus memutuskan koneksi, kemudian menghubungkan klien OpenVPN untuk menggunakannya.

Mengingat semua ini, saya memutus dan menghubungkan kembali klien OpenVPN. Ini segera dihargai dengan urutan DHCP Discover-Offer-Request-Ack diikuti oleh kebisingan biasa yang Windows kirim di sepanjang koneksi jaringan. Lebih penting lagi, penggunaan CPU segera dihentikan.

Sistem desktop yang terlibat juga memiliki klien OpenVPN yang diinstal di dalamnya dan mungkin juga merupakan sumber masalah tersebut.

Tidak tahu penyebab pastinya, tetapi ketika komponen BFE dari svchost mulai memonopoli cpu, tindakan yang tepat adalah me-restart firewall windows (dari services.msc). Jika Anda mencoba me-restart BFE kemungkinan besar tidak akan berhasil.

Baru saja mengalami masalah ini 5 menit yang lalu, masalah saya ada di Win7-64 juga. Tidak perlu melakukan reboot, walaupun saya juga menonaktifkan / mengaktifkan kartu jaringan saya dari devmgmt.msc, hanya sebagai tindakan pencegahan (sering kali sangat membantu dengan berbagai masalah kartu jaringan).

Ada banyak utas tentang hal ini di situs Microsoft tetapi tanpa resolusi apa pun (dan saya membalas posting yang berumur 3 tahun!).

Dalam kasus saya, layanan Berbagi Sambungan Internet (ICS) macet dalam status "Mulai".

Dialog Buka Jalankan (Windows + R) dan masukkan services.mscuntuk membuka Services, cari Internet Connection Sharing (ICS) dan nonaktifkan.

Mulai ulang dan nikmati :).

Ini adalah daftar hal yang dapat Anda periksa (bukan solusi).
Buat titik pemulihan sistem sebelum melanjutkan.

1. Periksa Event Viewer untuk melihat kesalahan sistem yang tidak biasa
2. Periksa Peraga Peristiwa untuk kesalahan Firewall yang tidak biasa: di panel kiri, klik Aplikasi / Log Layanan / Microsoft / Windows / Windows Firewall dengan Keamanan Lanjutan / Firewall.
3. Aktifkan Firewall logging seperti yang dijelaskan di sini . Periksa log untuk hal-hal lucu.
4. Gunakan TCPView untuk melihat apakah ada program yang membuka port aneh (atau mencoba).
5. Gunakan Autoruns untuk memeriksa startup yang lucu. Anda dapat dengan itu menyimpan keadaan saat ini dan kemudian secara selektif mematikan beberapa program startup untuk melihat apakah ini mengubah sesuatu. Anda kemudian dapat mengembalikan situasinya kembali.
6. Memindai menggunakan beberapa program antivirus. Anda dapat menggunakan pemindai online dari perusahaan terkenal (masing-masing membutuhkan waktu berjam-jam).
7. Matikan router Anda untuk melihat apakah itu salah dan membombardir Anda dengan paket.
8. Nonaktifkan kartu jaringan Anda untuk melihat apakah itu salah dan membombardir Anda dengan paket.
9. Periksa perangkat keras apakah ada kipas atau motherboard yang rusak atau lainnya.

Itu saja, saya kehabisan ide.

Dalam LAN saya di tempat kerja, saya menyelesaikannya dengan memperbarui alamat ip saya dengan ipconfig /renew. Saya menduga ini bisa menjadi sesuatu yang terkait dengan suspensi / hibernasi.