Wie sich herausstellte, hing dies mit der gemeinsamen Nutzung von Internetverbindungen (Internet Connection Sharing, ICS) zusammen.
Im Folgenden möchte ich beschreiben, wie ich zu diesem Schluss gekommen bin, in der Hoffnung, dass es anderen Menschen mit ähnlichen Problemen hilft.
Der erste Schritt besteht darin, den Dienst zu identifizieren, der Probleme verursacht. Während der Windows-eigene Task-Manager dies kürzlich ebenfalls gelernt hat, habe ich Process Hacker verwendet, mit dem auch die Konfiguration eines Dienstes bearbeitet werden kann.
Durch Doppelklicken auf die fehlerhafte svchost.exeInstanz und Auswählen der Registerkarte " Dienst" wird angezeigt, welche Dienste in diesem Prozess ausgeführt werden:
svchost.exekann viele Windows-Dienste gleichzeitig hosten, wodurch es schwierig wird, festzustellen, welcher Dienst Probleme verursacht. Während neuere Versionen von Windows 10 normalerweise Dienste isolieren, wenn genügend RAM verfügbar ist , teilen sich einige Dienste immer noch einen Prozess.
Dies ist ein solcher Fall, und der einfachste Weg, um festzustellen, welcher Dienst Probleme verursacht, besteht darin, sie zu trennen.
Process Hacker kann dies tun. Auf der Registerkarte " Dienst" des Hauptfensters können wir konfigurieren, ob ein Dienst einen Prozess gemeinsam nutzen kann:
Mindestens zwei der drei verdächtigen Dienste müssen als eigener Prozess konfiguriert werden , um sicherzustellen, dass sie in Zukunft getrennt werden.
Anscheinend mag Windows Defender es nicht, wenn Benutzer sich in die Konfiguration seines Dienstes einmischen. Um diese Einstellung erfolgreich zu ändern, musste ich dies tun
- gewähren die Administratoren Gruppe Vollzugriff auf diesen Dienst,
- Dienst deaktivieren,
- Neustart, damit der Dienst gestoppt wird (er kann nicht separat gestoppt werden),
- Ändern Sie den Diensttyp in Eigener Prozess und aktivieren Sie den Dienst erneut (setzen Sie ihn auf Automatisch starten ) und
- Starten Sie ein letztes Mal neu, um diese Änderungen zu übernehmen.
Danach svchost.exehostet die Straftat nur noch einen einzigen Dienst, sodass wir einen Verdächtigen haben:
Um zu analysieren, was im Firewall-Dienst vor sich geht, verwenden wir den Windows Performance Recorder und das Windows Performance Analyzer-Tool, die Teil des Windows ADK sind .
Wir beginnen mit der Aufzeichnung einiger Daten. svchost.exeLaden Sie diese Datei herunter , während der Verdächtige im Hintergrund mitspielt , fügen Sie sie als Profil hinzu, richten Sie Windows Performance Recorder wie folgt ein und starten Sie eine Aufzeichnung:
Lassen Sie die Aufnahme etwa 30 Sekunden lang laufen und speichern Sie sie dann. Klicken Sie nach dem Speichern auf In WPA öffnen, um es sofort zur Analyse zu öffnen.
Hier wird es schwierig. In meinem Fall musste ich einen Hinweis von @ magicandre1981 zu sehen an der richtigen Stelle, unter der Systemaktivität → Allgemein Events . Dort sah die Anzahl der RPC-Ereignisse verdächtig hoch aus:
Drilldown, der Windows Defender Firewall svchost.exewurde eine Menge auf dem zeigt sich Server Seite win:Startund win:StopEreignisse:
Der nächste Schritt bestand darin herauszufinden, wer diese RPC-Anrufe gesendet hat. Beim Betrachten der Client-Seite sah eine andere svchost.exeInstanz verdächtig aus:
In der Tat konnte Process Hacker keinen Dienst erkennen, der in diesem Prozess ausgeführt wurde, was auch durchweg zu einer CPU-Auslastung führte:
In diesem Fall konnte der Windows-Task-Manager den Dienst erfolgreich identifizieren:
In der Tat steckte der Dienst im Startzustand fest. Ich habe es deaktiviert, da ich es nicht benötige, und die CPU-Auslastung ist nach dem nächsten Neustart wieder normal.
Ich möchte mich bei @HelpingHand und @ magicandre1981 bedanken, deren Hilfe in den Kommentaren dies ermöglicht hat.
Wie später im TenForums-Beitrag festgestellt wurde , wird dieses Problem durch Zurücksetzen der Windows Defender-Firewall behoben .
Sc config BFE type= owndannSc config MpsSvc type= own