Windows Update 서비스가 CPU 점유율을 과도하게 사용합니다.

매번 컴퓨터를 다시 켜면 잠시 후에  Update 프로세스가 돌고

CPU를 25% 정도 사용합니다.

어떻게 조치해야 하는지요?


=======================================

어떤 프로세스가 cpu를 많이 쓰는지 확인을 해야 합니다.

일단 업데이트 프로세스가 많이 사용하는지 확인하기 위해서

제어판/관리도구/서비스에서 windows update의 설정을 사용안함에 체크를 하고 재부팅 해보세요




다음에는 부팅 후에 바로

작업관리자를 띄워서 프로세스 탭에 보면 cpu 사용하는 메뉴가 보입니다

보이지 않으면 작업관리자 메뉴/보기/열선택에서 cpu사용에 체크 하면 나타납니다

그런 다음 어떤 프로세스가 cpu를 많이 사용하는지 체크를 하세요

특별한 이상이 없으면


다시 윈도우서비스를 '자동'으로 설정하신 후 재부팅



부팅 후


작업관리자를 띄워서 보시되

프로세스 중에 svchost.exe 쪽을 살펴 보세요...  

svchost.exe는 윈도우 서비스와 드라이버쪽의 프로세스를 실행시켜 주는 파일입니다

프로세스에 보시면 여러개 떠 있는데

가장 cpu를 많이 사용하는 svchost.exe를 선택 한 다음

오른쪽 마우스를 눌러서 '서비스로 이동'을 클릭하면

svchost.exe가 실행 중인 서비스를 보여 줍니다.



svchost.exe 중에 메모리, cpu를 많이 차지 하는 프로세스를 추적해서

어떤 서비스가 떠 있나 확인을 하는 과정 입니다.

'서비스이동'을 누른 후에, BITS라고 하는 서비스를 찾아보세요


업데이트가 사용하는 서비스입니다

백그라운드서비스인데.. 


이 서비스는 업데이트 뿐만이 아니라

창을 여러개 띄워놓고 쓰거나, 음악을 듣거나, 바이러스검사 등 

현재 사용하는 창 말고, 백그라운드로 사용되는 프로그램들이 원할하게 플레이되게

해주는 윈도우 서비스 입니다


따라서 원인 추적을 하려면, 음악끄고, 바이러스검사 끄고, 기타 백그라운드에서 돌아가는

프로세스를 일단 끈 다음에 체크가 되어야 정확하겠지요



업데이트 할 때, CPU, 메모리를 많이 차지하는 서비스가 바로 Windows modules installer 입니다

쉽게 dll 파일을 들을 업데이트 하면서 설치하는 관리자입니다.

업데이트를 다운받고 나서 설치할 때, 


trustedinstaller.exe가 작동하면서, 업데이트를 설치하기 시작합니다

작업관리자의 프로세스 탭에서 확인할 수 있습니다.



위에서 설명한 것이 윈도우 업데이트 서비스의 원론적인 개념입니다.




질문내용에서 만약 업데이트로만 cpu에 과부하가 걸리는 것이라면, 패치가 나올 겁니다.

업데이트를 한꺼번에 100개 이상을 몰아서 하지 않는 이상 부하가 많이 걸릴 수 없거든요


두번째로는 사용 중인 윈도우의 최적화 문제 일 수 있습니다.

가장 많이 본 것으로는 메인보드의 업데이트, 드라이버 업데이트가 서비스에서 작동 중이라는 것입니다.


회사에서 사용한다면 회사에서 내려 주는 정책에 의한 업데이트도 많겠고..


개인용 조립 컴퓨터는 

온보드를 많이 사용하기 때문에 , 

윈도우 서비스단에 인텔관련 업데이트 서비스를 체크를 해보세요

일단 중지를 시켜 놓는 것이 좋습니다.


삼성컴퓨터나 노트북 등 조립이 아닌 컴퓨터는

각 업체에서 만들어 놓은 업데이트를 하는 서비스도 따로 있기 때문에

이런 서비스들을 중지를 시켜야 합니다.


그외에 응용프로그램들

어도비, 플래시, 구글, 알약, v3 등 프로그램들도 많이 있습니다


또 하나는 인터넷뱅킹, 신용카드 등 금융회사의 키보드보안을 비롯한 보안프로그램들이 있는데

직접적으로 업데이트에는 지장이 없지만

네트워크를 사용하는 통신에는 그렇게 도움이 되는 프로그램들은 아닙니다.


세번째로는 요즘 메신저, 카톡등을 많이 사용하고 계시는데

이것들이 부팅 될 때, 자동으로 실행이 되서,  네트워크 상에 부하를 일으킬 수 있습니다.


네트워크 자원의 리소스를 windows update만 사용하게 끔  설정을 조정하는 센스도 필요합니다


=============================





왜 윈도우 업데이트를 하면 재부팅을 할까...

예를 들어
현재 쓰고 있는 버전이 ie6 이라고 가정할 때.. ie7로 업데이트 한다고 가정하면

업데이트시 새로운 소프트웨어가 디스크에 설치가 됩니다.
그런데 이미 이전 버전에 사용되는 코드(dll파일이나 레지스트리의 clsid값)은 이미 실행되고 있고 있지요.

그러면 어떻게 될까요..
사용하는 파일은 새로운 버전에서 코드값을 불러와야 되는데 아직 예전 버전을 가지고 실행중이므로..
뻑이 날 수 있습니다.

새로운 dll파일에 맞는 레지스트리 값을 불러서 ie에서 실행이 되어야 되겠지요
그래서 재부팅이 필요로 합니다.

억지로 재부팅을 막는 것은 바보 같은 짓입니다.

재부팅이 필요한 업데이트들은...

윈도우의 보안업데이트는 수시로 뜨지요..
보안업데이트는 결국 네트워크 망과 관계되거나..
권한에 관한 dll 파일들이 패치가 되는 것이기 때문에..
필히 재부팅을 해야 합니다.

익스플로러버전업그레이드 ..
두 말할 필요도 없지요.. 윈도우와 익스플로러는 한 몸이기 때문에...
익스플로러를  업그레이드 윈도우 전체를 업그레이드 시키는 것과 같은 효과를 내지요..

앞으로 윈도우7에 대한 보안 업데이트나 패치 부분의 업데이트가 많이 뜰 겁니다.
재부팅 하는 것을 귀찮게 생각하지 말고...

냉큼 재부팅을 하시고..
안되면 reset 키라도 눌러서 재부팅을 꼭 하세요..


중국에서 인터넷 익스플로러(IE) 웹브라우저 취약점을 악용한 해킹 사고가 발생한 것과 관련,
22일 새벽 긴급 보안 패치를 배포한다. 


보안패치는 한국시간 22일 새벽 3시부터 윈도 자동업데이트를 통해 배포되며,
수동 업데이트는 한국MS 보안 사이트(www.microsoft.com/korea/security)에서
같은 시각부터 내려받을 수 있다.


최근 인터넷 익스플로러 6를 사용하는 고객 일부에 대해 정밀하게 공격했던 취약점과, 현재로서 공격의 징후는 없지만 심각도가 높은 다른 취약점들에 대해 문제를 해결하는 보안 공지입니다.

보안 공지 Internet Explorer
최대 심각도: 긴급
영향: 원격 코드 실행 시스템
재시작: 필요함


영향을 받는 제품: Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7에서 실행하는 Internet Explorer 버전 5, 6, 7, 8


프로그램을 사용하다 보면
업데이트(update)
패치(patch)
서비스팩(service pack) 이라는 용어를 많이 봅니다.


 패치(patch)

프로그램이나 테이터의 장애 부분을 응급 조치로 수정하는 것을 의미합니다.
패치는 하나의 독립적인 프로그램이기보다는
이미 있던 프로그램의 잘못된 부분을 수정하는 것을 말합니다.

업데이트(update)

업데이트는 문제를 예방 또는 해결하고, 컴퓨터의 보안을 향상시키거나,
프로그램/드라이버의 기능을 향상시킬 수 있도록 추가되는 소프트웨어입니다
패치와 달리 파일을 교체한다는 개념 입니다


서비스팩(service pack)

서비스 팩은 이미 발매된 소프트웨어 내에 존재하는 문제점을 고치거나,
또는 기능을 강화하기 위해 만들어진 것으로, 패치와 업데이트를 합친 종합선물로
생각하면 됩니다.

윈도우의 패치, 업데이트/업그레이드, 서비스 팩

서비스팩은 윈도우를 2/3 이상 업데이트 하는 수준으로 새로 설치한다는 개념이고
업데이트/업그레이드, 패치는 사용하면서 이슈로 떠오른 보안, 취약점을 예방하는
수준의 프로그램 입니다
.


드라이버 업데이트/업그레이드

업데이트는 교체 개념이기 때문에..
특히 그래픽카드 업데이트할 때는 안전모드에서 해야합니다.
기존에 설치된 그래픽 드라이버를 사용하지 않는 조건에서 업데이트를 해야 겠지요

칩셋 패치

칩셋패치는 주로 메인보드에서 많이 사용하는 말이죠..
칩셋패치는 하드웨어에 문제가 있는 경우에, 바꿀 수도 없고 해서
소프트웨어로 대체하는 효과를 보려는 것입니다.
보통 윈도우를 설치를 한 다음 바로 패치를 한번 해주는것이 안전합니다.

'윈도우xp' 카테고리의 다른 글

기본적인 자동실행  (0) 2008.01.01
윈도우 설치  (0) 2008.01.01
서비스팩, 업데이트, 패치  (1) 2008.01.01
컴퓨터에서 이 게임을 못하게 하려면 어떻게 해야 됩니까?  (0) 2007.12.31
스레드, 핸들  (7) 2007.12.23
윈도우 shell  (0) 2007.12.20

윈도우 부팅시에 

오른쪽 하단에 있는 아이콘이  java 프로그램 업데이트 하라는 문구가 뜹니다.
업데이트를 하는게 좋은지 어떨지 몰라서 답변듣고  하려고 보류중입니다.
고귀한 답변 기다리겠습니다.
=====================================================

사용자 삽입 이미지

java(TM) update를 설치하라고 자꾸뜨는 문제는 
새로운 버전이 나와서   업데이트 메세지를  보내는것   입니다.
바이러스 등과  관계가 없는  필요한  부분 입니다.
업데이트 필요하다는  메세지 창이  뜨면  
업데이트 해주셔도  아무 문제가  없습니다
.

자바의 활용도

자바는 인터넷을 하다 보면 자바로 돌아가는 사이트를 보게 됩니다.
인터넷 상에서 보는 서비스들은 거의 자바로 만들어 진다고 보면 됩니다.
포탈의 로그인, 검색, 동영상, 게시판, 보안, 메일, 등등

모든 것이 자바 프로그램으로 만듭니다.
======================================================

자바의 종류

1. 마이크로소프트 자바

이전에는 윈도우에 기본적으로 Windows VM 이라는 프로그램이 설치되어 있었으나
지금의 윈도우xp에서 부터는 Windows VM이 제외되어 나오고 있습니다.
sun(선)사와의 계약관계 때문에 더 이상 사용을 할 수 없기 때문입니다.

마이크로소프트의 자바를 이용하는 사이트는 은행, 증권사이트에서 사용이 되고 있습니다.
이런 사이트를 이용하다가 런타임에러(java run time error)가 걸리면
마이크로소프트의 자바를 다운받아서 다시 설치를 해야 합니다.

2. SUN 자바
네트워크 환경의 즉 인터넷에서 돌아가는 프로그램들은 자바로 만들어 졌다고 보면 됩니다.


자바의 구성 용어들 (윈도우에서 돌아가는 자바 구성요소 중심으로)

 1. JDK(Java Development Kit) 란?
자바 프로그램을 개발하기 위한 여러가지 유틸리티 및 API를 담고 있는 도구(Kit)입니다.

2. JRE(Java Runtime Enviroment) 란?
자바 프로그램을 컴파일하고 실행하기 위한 환경입니다. JVM(Java Virtual Machine)이 필수입니다.
사용 API에 대한 경로도 담고 있습니다.

3. JVM(Java Virtual Machine) 란?
자바 프로그램을 컴파일하고 실행하기 위한 가상의 기계입니다.
따라서 JVM이 설치되어 있으면 운영체제나 하드웨어와 상관없이 자바 프로그램을 실행시킬 수
있습니다.

JAVA VM (JAVA Virtual Machine : 자바가상머신)은 JAVA로 만들어진 프로그램을
해석하고 실행하는 가상의 장치를 말합니다
즉, 인터넷에서 JAVA로 만들어진 프로그램을 보려면 JAVA VM이란게 필요하다는 것이죠


자바가 윈도우에서 동작하는 개요


우선 사용자가 자바를 윈도우에 설치를 하게 되면
설치된 프로그램들은 자바로 만들어진 프로그램을 해석하는 인터프리터 역할을 하게 됩니다.

도스 시절에 DIR 명령을 사람이 치면
이것을 COMMAND.COM 이라는
파일이 받아서 해석을 한 다음
다시 화면에 파일 리스트가 죽 나오게 되는 것과 같은 개념입니다.

자바로 만든 포커나 고스톱 사이트를 예를 들어 설명을 해보면
포커나 고스톱등의 그림과 다음에 서로 치고 받는 로직(logic)이 필요할 겁니다

자바로 만들었다면 사용자는 어떻게 사용되느냐면..
자바로 만든 코드를 인터넷을 통해서 사용자의 컴퓨터에 다운을 받게 하고
실행하는 개념으로 보면 되는 것이고

윈도우에서 자바를 해석해서 실행하는 역할을 하는 해석기 역할이
바로 위에서 얘기한 자바 컴파일러 또는 인터프리터 파일들이 하고 화면에 나타나는 그림이나 GUI 즉 그래픽 인터페이스들은 자바의 또다른 포맷인 가상머신(JVM)이라는 프로그램에서 돌리게 되는 것입니다.

그럼 다른 디바이스 즉 핸드폰이나 들고 다니는 장치를 생각해봅시다
핸드폰에 칩에 자바의 런타임이나 인터프리터 가상장치를 넣어서 만들었다면 소프트웨어를 받을 필요가 없어질겁니다. 칩에 내장된 소프트웨어만 업데이트 하면 간단해집니다.


증상

토요일 저녁에 컴퓨터를 켜 보니 이상한 메시지가 팝업창으로 들어옵니다.

218.xx.xxx.xxx에서 연결을 시도 합니다.
그래서 인터넷 연결을 해제 하니까

자동으로 adsl 연결창을 열려고 하더군요..
아래 그림과 비슷하고 url 주소만 알지 못하는 주소로 뜨더군요
 

사용자 삽입 이미지
 

해 결


한창 생각을 했습니다.

"덮고 자자.. 이것 잡으려면 또 새벽까지 갈거니까 덮고 그냥 자고 내일하자."
"아니다 오랜만에 걸리니까 한번 해결해보자.."

갈등을 때리다 그래 가는데 까지 가보자로 결정을 했지요

자 그럼 우선 뭐가 문제인지 작업관리자를 띄워보자
작업관리자를 띄우니까 익스플로러가 살아있는 겁니다.

익스플로러 창을 닫았는지도 시간이 지났고 adsl 연결도 끝었는데..

사용자 삽입 이미지

프로세스를 죽이면 다시 살아나고 죽이면 다시 살아나고..

그래서 무엇인가가 자꾸 익스플로러 창을 띄우나 보다.
그러면 우선 자동실행되는 것이 있는지 레지스트리에서 점검을 해보자..

레지스트리의 자동실행되는 영역에는 전에 설정해 놓은 사항이 그대로
있었습니다.
그럼 이건 아니고

그래서 이번에는 익스플로러와 같이 실행되는 dll파일을 찾아보기로 작정하고
보니까.. tasklist/m 도스창에서 처 보니까

dll 파일 중에 "000095xxx.dll"파일이 있더라구요
아항 이놈이구만 생각을 했지요

다음에는 인터넷임시파일과 쿠키를 삭제를 하고
개체를 보니까 내가 알던 개체들만 있어서 그래도 모두 삭제를 했지요

그런다음 탐색기에서 00009xxxx.dll파일을 삭제하려고 했더니
아니나 다를까 사용중이라서 삭제가 안된다고 하더군요
안전모드로 부팅을 해서 삭제를 하고

다시 정상적으로 부팅을 해서 작업관리자를 보니까
아주 깨끗해서 다시 인터넷을 연결해서 익스플로러를 사용하다가
미심 적어서 다시 작업관리자를 뛰우니까

wuauclt.exe 파일이 떠 있는 겁니다.
이것은 업데이트하는 윈도우 파일인데 나는 업데이트를 자동으로 하지 못하게
막아 놓았는데 지가 알아서 업데이트를 하더라고요

제어판에 가서 다시 확인을 해보고
다시 부팅을 해도 마찬가지 입니다.

부팅해서 system32폴더에 보면 또 00009xxx.dll파일도 다시 생기고..
귀찮아서 여기 까지 하고 잠을 잤어요
시스템이 오류가 생기는 것도 아니고 해서 내일 하자...

추 가


다음날 일요일 아침부터 씨름할 생각을 하니까

짜증이 나서 덮어 두려고 했다가 카페나 메일확인 차 들어갔다가
발동이 걸린 겁니다.

뭔지 모르지만 계속해서 익스플로러에 url파일이나 ip를 던줘 줘서
실행시키는 것이 있구나 생각을 했지요

생각을 정리를 해볼필요가 있어서 잠시 생각을 했습니다.

1. 시스템이 느려지거나 이상한 창이 뜨거나 하는 것은 없다
2. 인터넷 연결을 해놓으면 아무이상 없이 사용할 수 있다
3. 인터넷 연결만 끝으면 그때부터 이상한 주소를 호출한다.
4. 계속해서 익스플로러 프로세스가 생긴다.
5. 자동실행되는 것은 아니다.
6. 그렇다고 실행파일이 있어서 실행되는 것도 아니다.
7. 윈도우 업데이트 파일은 왜 뜨는 거지 등등..

그래서 현재 상황에서
익스플로러를 띄울수 있는 프로세스는 wuauclt.exe파일이다

그럼 이것을 제어판에서 제어가 안되는데 어떻하지 ?
어디서 찾아야 하나 하다가 생각 난 곳이 바로 제어판/관리도구/서비스 입니다.

서비스단에 윈도우 업데이트되는 부분을 막기로 했습니다.
그래서 제어판/관리도구에서 서비스 창을 열고
현재 실행중인 서비스 중에 업데이트나 다른 네트워크 관련된 서비스 중에
자동실행 중인것을 모두 수동으로 바꾼 후에 다시 부팅을 했습니다.

사용자 삽입 이미지

그래도 혹시 몰라서 저는 아직 C:드라이브는 fat32로 쓰고 있어서
도스로 부팅을 한 후 v3를 돌려서 익스플로러가 win32계열에 바이러스인지 아닌지
확인을 해두고..

오후에 다시 보니까 정상적으로 되었더라구요
어제 저녁때 부터 오늘 오후까지 시간으로 한 20시간이 걸렸죠..
중간에 팝업이나 애드웨어 잡는 프로그램을 돌려 봤는데
프로그램들의 성격이 레지스트리와 엑티브x에 초점이 맞춰진것 같더라구요

이번 것은 엑티브x와는 조금 틀린 문제로 봤거든요

인터넷연결을 하면
보통 컴퓨터 들이 윈도우 서비스 단에서
업데이트 상태가 자동으로 되어 있는 것을 악용을 해서
이 약점을 노리는 악성코드가 내 컴퓨터로 dll파일을 복사시켜놓고
익스플로러에 실행되면 실행되면서
자기네 사이트를 호출하고..

이 정도까지만 하게 되어 있는 악성코드라고 판단을 했습니다.

시작페이지 바꾸는 것도 아니고 그렇다고 요란한 팝업을 띄우는 것도 아니지만
간만에 악성코드를 만나 10시간동안 씨름을 했습니다.

과거 처럼 바이러스에 의해서 하다하다 안되서
윈도우를 다시 엎어 버리는 일은 아니어서 괜찮다고 생각을 했는데
악성코드를 추적하는 것이 더 시간이 많이 걸리네요

하기는 그래서 이렇게 메일을 쓸 거리를 만들었으까 됐지요. 뭐..