Seit der Installation des Windows 10 Fall Creators-Updates habe ich einen svchost.exe
Prozess, der ständig etwa 14% der CPU-Zeit beansprucht:
Diese svchost.exe
Instanz ist für das Hosting von drei Diensten verantwortlich:
Die CPU-Zeit wird von einem Thread in diesem Prozess verbraucht, den Process Hacker keinem dieser drei Dienste zuordnen kann:
Angesichts der Tatsache, dass diese drei Dienste als kritische Systemdienste betrachtet werden, ist es schwierig, etwas dagegen zu unternehmen. Diese Dienste können nicht von gestoppt oder deaktiviert werden services.msc
, und das Beenden des Prozesses löst einen Bugcheck ( CRITICAL_PROCESS_DIED
) aus. Durch Deaktivieren der Windows Defender-Firewall über die Einstellungsoberfläche wird die CPU-Auslastung nicht verringert.
Ich habe keine Ideen mehr. Was könnte das verursachen? Wie kann ich das weiter debuggen? Gibt es eine Problemumgehung, um diese Dienste zu beenden?
Update: Nach einigem Debuggen mit @HelpingHand haben wir dies für den Windows Defender Firewall-Dienst isoliert. Process Monitor zeigt an, dass ständig auf die Registrierung zugegriffen wird:
Ein CSV - Export eines Process Monitor zu erfassen, zu diesem Prozess gefiltert, ist verfügbar hier .
Ich suche immer noch nach einer Möglichkeit, dieses Verhalten zu stoppen.
Update 2: Die Analyse mit dem Windows Performance Analyzer zeigt, dass der größte Teil der CPU-Zeit von Code verbraucht wird aus rpcrt4.dll
:
Sc config BFE type= own
dannSc config MpsSvc type= own
Antworten:
Wie sich herausstellte, hing dies mit der gemeinsamen Nutzung von Internetverbindungen (Internet Connection Sharing, ICS) zusammen.
Im Folgenden möchte ich beschreiben, wie ich zu diesem Schluss gekommen bin, in der Hoffnung, dass es anderen Menschen mit ähnlichen Problemen hilft.
Der erste Schritt besteht darin, den Dienst zu identifizieren, der Probleme verursacht. Während der Windows-eigene Task-Manager dies kürzlich ebenfalls gelernt hat, habe ich Process Hacker verwendet, mit dem auch die Konfiguration eines Dienstes bearbeitet werden kann.
Durch Doppelklicken auf die fehlerhafte
svchost.exe
Instanz und Auswählen der Registerkarte " Dienst" wird angezeigt, welche Dienste in diesem Prozess ausgeführt werden:svchost.exe
kann viele Windows-Dienste gleichzeitig hosten, wodurch es schwierig wird, festzustellen, welcher Dienst Probleme verursacht. Während neuere Versionen von Windows 10 normalerweise Dienste isolieren, wenn genügend RAM verfügbar ist , teilen sich einige Dienste immer noch einen Prozess.Dies ist ein solcher Fall, und der einfachste Weg, um festzustellen, welcher Dienst Probleme verursacht, besteht darin, sie zu trennen.
Process Hacker kann dies tun. Auf der Registerkarte " Dienst" des Hauptfensters können wir konfigurieren, ob ein Dienst einen Prozess gemeinsam nutzen kann:
Mindestens zwei der drei verdächtigen Dienste müssen als eigener Prozess konfiguriert werden , um sicherzustellen, dass sie in Zukunft getrennt werden.
Anscheinend mag Windows Defender es nicht, wenn Benutzer sich in die Konfiguration seines Dienstes einmischen. Um diese Einstellung erfolgreich zu ändern, musste ich dies tun
Danach
svchost.exe
hostet die Straftat nur noch einen einzigen Dienst, sodass wir einen Verdächtigen haben:Um zu analysieren, was im Firewall-Dienst vor sich geht, verwenden wir den Windows Performance Recorder und das Windows Performance Analyzer-Tool, die Teil des Windows ADK sind .
Wir beginnen mit der Aufzeichnung einiger Daten.
svchost.exe
Laden Sie diese Datei herunter , während der Verdächtige im Hintergrund mitspielt , fügen Sie sie als Profil hinzu, richten Sie Windows Performance Recorder wie folgt ein und starten Sie eine Aufzeichnung:Lassen Sie die Aufnahme etwa 30 Sekunden lang laufen und speichern Sie sie dann. Klicken Sie nach dem Speichern auf In WPA öffnen, um es sofort zur Analyse zu öffnen.
Hier wird es schwierig. In meinem Fall musste ich einen Hinweis von @ magicandre1981 zu sehen an der richtigen Stelle, unter der Systemaktivität → Allgemein Events . Dort sah die Anzahl der RPC-Ereignisse verdächtig hoch aus:
Drilldown, der Windows Defender Firewall
svchost.exe
wurde eine Menge auf dem zeigt sich Server Seitewin:Start
undwin:Stop
Ereignisse:Der nächste Schritt bestand darin herauszufinden, wer diese RPC-Anrufe gesendet hat. Beim Betrachten der Client-Seite sah eine andere
svchost.exe
Instanz verdächtig aus:In der Tat konnte Process Hacker keinen Dienst erkennen, der in diesem Prozess ausgeführt wurde, was auch durchweg zu einer CPU-Auslastung führte:
In diesem Fall konnte der Windows-Task-Manager den Dienst erfolgreich identifizieren:
In der Tat steckte der Dienst im Startzustand fest. Ich habe es deaktiviert, da ich es nicht benötige, und die CPU-Auslastung ist nach dem nächsten Neustart wieder normal.
Ich möchte mich bei @HelpingHand und @ magicandre1981 bedanken, deren Hilfe in den Kommentaren dies ermöglicht hat.
Wie später im TenForums-Beitrag festgestellt wurde , wird dieses Problem durch Zurücksetzen der Windows Defender-Firewall behoben .
quelle
Internet Connection Sharing (ICS)
Dienste deaktiviert ? Wird WiFi Hotspot keine Option mehr sein?svchost.exe
, was es schwierig macht, den Dienst zu identifizieren, der dies verursacht. Ich bin nicht sicher, warum sie in Ihrer Instanz keinen Host-Prozess freigegeben haben.Es ist einfacher, ich habe Erfolg gehabt, indem ich die Windows-Firewall-Einstellungen zurückgesetzt habe (insbesondere wenn die CPU-Auslastung damit zusammenhängt).
Durch Zurücksetzen der Windows Defender-Firewall auf die Standardeinstellungen wurde das Problem behoben.
Hoffe, das hilft und funktioniert für jemand anderen ... Scheint ein ziemlich weit verbreitetes Problem zu sein.
quelle
In meinem Fall habe ich nach dem Versuch verschiedener erfolgloser Korrekturen (einschließlich einiger der oben genannten Vorschläge, z. B. Zurücksetzen der Windows-Firewall) den "Diagnostic Policy Service" deaktiviert und das CPU-Hogging endgültig eingestellt. Dies ist möglicherweise nicht die ideale Lösung, scheint jedoch kein kritischer Dienst zu sein. So deaktivieren Sie es:
Vielen Dank an Ranga Rajesh Kumars YouTube-Kanal , der mich auf diese Lösung hingewiesen hat.
quelle