Отваливаются принтеры(ScrewDriver) и буфер обмена в RDP Часть 2

Первая часть

Ух и достала проблема, когда звонят пользователи и говорят что с 1ски не печатается. Принтер подключен, просто печатается куда то в трубу. А также часто буфер обмена просто не работает, помогает перезапуск процесса. Но это все же не дело… Часто вижу в логах ошибки…

Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО - 
 1 user registry handles leaked from \Registry\User\S-1-5-21-3776686468-11906732-313865392-1175:
Process 32352 (\Device\HarddiskVolume2\Windows\System32\<strong>SimpNtfy.exe</strong>) has opened key \REGISTRY\USER\S-1-5-21-3776686468-11906732-313865392-1175

Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

ПОДРОБНО -

1 user registry handles leaked from \Registry\User\S-1-5-21-3776686468-11906732-313865392-1175:

Process 32352 (\Device\HarddiskVolume2\Windows\System32\SimpNtfy.exe) has opened key \REGISTRY\USER\S-1-5-21-3776686468-11906732-313865392-1175

И тут SimpNtfy.exe это клиентская часть службы перенаправления принтера от ScreDriver. Процесс запускается под каждым пользователем.

Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.  

 ПОДРОБНО - 
 2 user registry handles leaked from \Registry\User\S-1-5-21-3776686468-11906732-313865392-1609:
Process 178272 (\Device\HarddiskVolume2\Windows\System32\<strong>SimpNtfy.exe</strong>) has opened key \REGISTRY\USER\S-1-5-21-3776686468-11906732-313865392-1609
Process 7528 (\Device\HarddiskVolume2\Windows\System32\<strong>svchost.exe</strong>) has opened key \REGISTRY\USER\S-1-5-21-3776686468-11906732-313865392-1609\Printers\DevModePerUser

ПОДРОБНО -

2 user registry handles leaked from \Registry\User\S-1-5-21-3776686468-11906732-313865392-1609:

Process 178272 (\Device\HarddiskVolume2\Windows\System32\SimpNtfy.exe) has opened key \REGISTRY\USER\S-1-5-21-3776686468-11906732-313865392-1609

Process 7528 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-3776686468-11906732-313865392-1609\Printers\DevModePerUser

а тут svchost.exe нашел по ИД он уже выполняется под системой, и что там завернуто не понятно.

Выполняем в командной строке:

tasklist /SVC /FI "IMAGENAME eq svchost.exe"

1	tasklist /SVC /FI "IMAGENAME eq svchost.exe"

Получаем

Имя образа                     PID Службы
========================= ======== ============================================
svchost.exe                    408 DcomLaunch, PlugPlay, Power
svchost.exe                    324 RpcEptMapper, RpcSs
svchost.exe                    948 Dhcp, eventlog, lmhosts
svchost.exe                   1060 AppMgmt, BITS, gpsvc, IKEEXT, iphlpsvc,
                                   LanmanServer, ProfSvc, Schedule, SENS,
                                   SessionEnv, ShellHWDetection, Winmgmt,
                                   wuauserv
svchost.exe                   1112 EventSystem, fdPHost, FontCache, netprofm,
                                   nsi, W32Time
svchost.exe                   1152 UxSms
svchost.exe                   1232 CryptSvc, Dnscache, LanmanWorkstation,
                                   NlaSvc, WinRM
svchost.exe                   1348 SCardSvr
svchost.exe                   1372 BFE, DPS, MpsSvc
svchost.exe                   3580 RemoteRegistry
svchost.exe                   3732 SrmSvc
svchost.exe                   3752 stisvc
svchost.exe                   3804 TrkWks
svchost.exe                   7192 TermService
svchost.exe                   7404 PolicyAgent
svchost.exe                   7460 WinDefend
svchost.exe                   7528 UmRdpService
svchost.exe                   7628 CertPropSvc
svchost.exe                   8500 Netman
svchost.exe                  22608 wudfsvc

Имя образа PID Службы

========================= ======== ============================================

svchost.exe 408 DcomLaunch, PlugPlay, Power

svchost.exe 324 RpcEptMapper, RpcSs

svchost.exe 948 Dhcp, eventlog, lmhosts

svchost.exe 1060 AppMgmt, BITS, gpsvc, IKEEXT, iphlpsvc,

LanmanServer, ProfSvc, Schedule, SENS,

SessionEnv, ShellHWDetection, Winmgmt,

wuauserv

svchost.exe 1112 EventSystem, fdPHost, FontCache, netprofm,

nsi, W32Time

svchost.exe 1152 UxSms

svchost.exe 1232 CryptSvc, Dnscache, LanmanWorkstation,

NlaSvc, WinRM

svchost.exe 1348 SCardSvr

svchost.exe 1372 BFE, DPS, MpsSvc

svchost.exe 3580 RemoteRegistry

svchost.exe 3732 SrmSvc

svchost.exe 3752 stisvc

svchost.exe 3804 TrkWks

svchost.exe 7192 TermService

svchost.exe 7404 PolicyAgent

svchost.exe 7460 WinDefend

svchost.exe 7528 UmRdpService

svchost.exe 7628 CertPropSvc

svchost.exe 8500 Netman

svchost.exe 22608 wudfsvc

Обновления у меня стоят все для win server 2008 R2, поэтому нагуглилось только

netsh int tcp set global chimney=disabled
netsh int tcp set global rss=disabled

1 2	netsh int tcp set global chimney=disabled netsh int tcp set global rss=disabled

Выполнил, проверяем на следующий день попутно запустим Process monitor, чтобы отловить еще виновников

ПРОДОЛЖЕНИЕ СЛЕДУЕТ

Добавить комментарий Отменить ответ