@Max_92

Недавно как вчера столкнулся со следующей проблемой. Запуск почти любых процессов сопровождается задержкой от нескольких секунды до полминуты. Особенно это заметно при старте системы (на экране приветствия и далее).

Началось (или, вернее, продолжилось) всё с того, что сборка проектов в Android Studio шла дольше, чем должна в нормальном состоянии, о чём мне сообщала сама IDE: "Windows Defender might be impacting your build performance" - несмотря на то, что все студийные папки, SDK и gradle'овская были в исключениях. Складывается ощущение, что оные или некоторые из них просто игнорируются. При выключении realtime protection сборка на холодную проходит за полторы минуты вместо 4-ых - влияние очевидно.
Вчера внезапно начались лаги иного характера, которые я описал выше, при том, что в тот день и ранее ничего не ставилось. Первый подозреваемый - встроенный антивирь. Но отключение защиты в реальном времени никакого результата, увы, не давало. Далее я поставил MalwareBytes, с целью подмены встроенного - для того, чтобы исключить его влияние. Картина ровно та же самая: тупняки в том же объёме. Дополнительно просканировал и не нашёл ничего подозрительного кроме uTorrent (который на протяжении всего времени выключен), хотя я уже и проверял им ранее. Единственное, странность была в том, что после перезагрузки в "Центре защиты" уже почему-то не писалось, что меня защищает MalwareBytes, хотя до этого была зелёная галка - снова восклицательный знак (потому что у меня отключён Tamper protection - защита от подделки).
Следом за этим я решил попробовать отключить временно целиком весь Defender (предварительно удавлив MB, само собой). Для этого я дописал параметр в реестр ("DisableAntiSpyware"=dword:00000001) и выключил в групповых политиках. Ессно, ни то ни другое не применилось, т.к. запущенная служба мониторит изменения этих значений. Поэтому я сделал это в безопасном режиме (где никаких задержек не было), после чего перезагрузился... и изменений нет.
Начал разбираться дальше, киляя процессы один за другим и выключая лишние службы. Удалил деинсталятором от ASUS'а Armoury Crate, от которого куча мусора и лишних запущенных процессов. Снова ноль.

Тогда в порядке общего бреда я решил выдернуть шнур из роутера... И, чудо - всё залетало. Подозревая, что дело в Ethernet'е или его Realtek'овском драйвере, я решил подключиться по беспроводному соединению к точке доступа того же роутера через TP-Link'овский свисток - результат тот же. Соот-но круг поиска сузился ещё дальше: дело не в конкретном драйвере (в другом случае, например, использование телефона в режиме USB-модема может давать подвисания в играх), а в самом факте наличия сети.

На данный момент каких-то подозрительных сервисов, процессов и тасок в планировщике не наблюдаю. Отсюда вопрос: что это может быть, куда копать дальше? И по первой проблеме - как сделать так, чтобы Defender таки исключил папки из проверки, которые влияют на сборку?

Добавлено через 1 минуту
Также стоит отметить, что виндовые апдейты ставлю руками через w10mu.exe и недавнее майское с косяками не ставил.

0

@Max_92

Ещё наблюдаю странную картину по точкам восстановления системы. Заметил, что они не создаются, зашёл в свойства системы, а там... Как такое возможно?

Миниатюры

 

0

@Max_92

Лог HiJackThis

Вложения

hijackthis.log (19.8 Кб, 2 просмотров)

0

@мама Стифлера

Max_92, так попробуйте напрямую подключить Ethernet к ПК, не через роутер.

0

@Max_92

мама Стифлера, так я к точке доступа через адаптер Wi-Fi подключался - то же самое. К этой же точке подключён Android, там никаких лагов сети не наблюдается. Точку доступа пробовал создать с самого телефона, чтобы исключить влияние роутера, от мобильной сети - адаптер не видит именно её почему-то.

Добавлено через 1 минуту
И казалось бы, как вообще запуск Тотал Командера или текстового редактора вообще может быть связан с сетью?

Добавлено через 21 минуту
Подключился к мобильной точке доступа (скорость адекватная и у роутера, и у неё). На секунду показалось, что проблема ушла, но... После перезагрузки недолго повисев на приветственном экране (потому что точку доступа он ещё не успел найти) и появлении пары значков в трее, далее после автоматического подключения к запомненной точке - тут же всё замедлилось в 10 раз. При выдёргивании свистка - дедлок как рукой сняло. Роутер перезагрузил, подключился к нему ещё раз - без изменений. Я в замешательстве, что это за пакость такая?..

0

@CyberNewbie

Интересно, а трафик в момент запуска программ идёт? если идёт, то определить что его жрёт.

Добавлено через 5 минут
Отключить защиту системы на:
и включить её на:
Такое возможно, когда например восстанавливали образ системы... к примеру, созданный с помощью программы AOMEI one key, или что то типо того...

Добавлено через 2 минуты
Хотя вполне возможно что система выдаст ошибку: 0x81000203

0

@Max_92

У меня Акронис всегда фоном выполняется - через него иногда бэкап системного диска (с другим разделом, от которого она частично зависит - симлинки на отдельные папки имеются) делаю. А, вспомнил, как им клонировал с одного SSD эту систему на другой, на котором сейчас. Тогда с этим вопросом понятно.

При отключении с несуществующего раздела сразу пропал, на актуальном без проблем включилось.

Попробовать Charles'ом определить, что в этот момент идёт?

0

@CyberNewbie

да

Различается ли время задержки? когда например запускаете exe размером 1 мб, и exe размером 30 мб?

0

@Max_92

CyberNewbie, пока я висел на подвиснувшем запуске OpenVPN GUI (потому что Total Commander, например, уже "протупил" и последующие разы стал быстро открываться) успело пробежать несколько хостов, ни о чём не говорящих...

Изображения

 

0

@Max_92

Зависит скорее не от размера, а каких-то других факторов. openvpn-gui.exe, весящий 801 КБ, может открываться 20 секунд, тотал под 9 МБ, как вариант, 10. Но вообще всё примерно одинаково. После появления экрана приветствия можно висеть минуты 2 пока хоть какой-то отклик не появится.

Добавлено через 8 минут
Заметил, что в диспетчере висело 3 процесса conhost.exe - кол-во их варьируется по ходу дня - прибил. И пока задержек не наблюдаю. Возможно, это то самое. Надо было глянуть подробнее в AnVir Task Manager или Process Explorer. При старте системы они в любом случае будут и я без понятия, про что это.

0

@CyberNewbie

1. Как вариант какой-то процесс сверяет сигнатуру файла/процесса в своих базах, для этого требуется время, время может различаться - такое поведение обычно характерно для антивирусов.

2. Ещё какой-то процесс может отправлять образцы на сервер (интересующие образцы), при этом время задержки также может различаться, в зависимости от размера файла - такое поведение обычно характерно для антивирусов, но если это могут делать антивирусы, то почему бы этого не делать зловреду.

При этом, оба варианта могут комбинироваться.
Хотя возможно, я хрень написал из области фантастики

0

@Max_92

Штука в том, что антивирус встроенный (да, там есть отправка образцов на сервера MS, MpCloudBlockLevel=2), уже полностью отрубался через политики безопасности под safe mode и на его место также вставал MB - поведение осталось таким же

Добавлено через 3 минуты
Предположим на секунду, что это оно самое... как вычислить, откуда оно стартует и отрубить? В Autoruns я ничего подобного не наблюдаю.

0

@CyberNewbie

А сам файл процесса находится в system32? В следующий раз может попробовать не завершить, а попробовать перейти к месту расположения файла. Насколько я понимаю, если местоположение файла conhost.exe отличается от system32, то это может быть зловред. Так оригинальный файл находится именно там.

И наверное лучше воспользоваться Process Explorer.
Для того чтобы отследить процесс, можно попробовать Process Monitor.

0

@Max_92

Предположение неверно... Это дочерний процесс от Акрониса. После перезагрузки, когда всё наконец отвисло, прибил оставшийся (до этого было 2) - запуски всё такие же долгие.

Миниатюры

 

0

@CyberNewbie

Вот изначально хотел попросить вырубить акронис, но потом что то засомневался

0

@Max_92

VirusTotal

Добавлено через 41 секунду
Есть жалобы пользователей на синие экраны, после отрубания отдельных его сервисов...

0

@Max_92

Касаемо трафика. Не знаю, совпадение или нет, но заметил следующую закономерность: тот софт, первый запуск которого сопровождается прохождением трафика через digicert (например FastStone Image Viewer) даёт задёржки, а тот, при котором сетевой активности нет вовсе (например, Paint), открывается моментально с первого раза. И другой момент: почему все запросы оказываются зафейленные? Предположу, есть какая-то проблема с корневыми сертификатами или доступом к центру.

Миниатюры

 

0

@Max_92

https://www.digicert.com/ открывается нормально из браузера, ocsp - нет, но наверное и не должен. Сл-но проблема в сертификатах?

0

@Max_92

Забыл сразу посмотреть, что именно было зафейлено - 503-я ошибка. Думаю, с этого момента надо копать.

Миниатюры

 

0

@CyberNewbie

Пишут что он вообще заблокирован на территории России:
Также пишут что в случае проверки приложений на отзыв сертификатов, приложение глухнет от 3-10 секунд..

Добавлено через 2 минуты
А что если заглушку для адреса поставить? В hosts

0