Hóa ra, điều này có liên quan đến Chia sẻ kết nối Internet (ICS).
Sau đây, tôi muốn mô tả làm thế nào tôi đi đến kết luận này với hy vọng nó sẽ giúp những người khác gặp vấn đề tương tự.
Bước đầu tiên là xác định dịch vụ gây rắc rối. Trong khi Trình quản lý tác vụ riêng của Windows cũng đã học cách thực hiện điều này gần đây, tôi đã sử dụng Trình xử lý quy trình cũng có thể chỉnh sửa cấu hình của dịch vụ.
Bấm đúp vào svchost.exe
trường hợp vi phạm và chọn tab Dịch vụ cho biết dịch vụ nào đang chạy bên trong quy trình đó:
svchost.exe
có thể lưu trữ nhiều dịch vụ Windows cùng một lúc, khiến cho việc xác định dịch vụ nào gây rắc rối trở nên khó khăn. Mặc dù các phiên bản gần đây của Windows 10 thường cách ly các dịch vụ khi có đủ RAM , một số dịch vụ vẫn chia sẻ một quy trình.
Đây là một trường hợp như vậy và cách dễ nhất để xác định dịch vụ nào gây ra sự cố là tách chúng ra.
Quá trình Hacker có thể làm điều này. Trong tab Dịch vụ của cửa sổ chính , chúng tôi có thể định cấu hình liệu dịch vụ có thể chia sẻ quy trình hay không:
Ít nhất hai trong số ba dịch vụ nghi ngờ cần được cấu hình là Quy trình riêng để đảm bảo chúng được phân tách trong tương lai.
Rõ ràng, Windows Defender không thích người dùng can thiệp vào cấu hình dịch vụ của nó, vì vậy để thay đổi thành công cài đặt này, tôi cần phải
- cấp cho nhóm Quản trị viên Toàn quyền truy cập vào dịch vụ đó,
- vô hiệu hóa dịch vụ,
- khởi động lại để dịch vụ bị dừng (không thể dừng riêng),
- thay đổi loại dịch vụ thành Quy trình riêng và bật lại dịch vụ (đặt thành Tự động bắt đầu ) và
- khởi động lại lần cuối để áp dụng những thay đổi này.
Sau đó, việc vi phạm svchost.exe
chỉ lưu trữ một dịch vụ duy nhất, vì vậy chúng tôi có nghi ngờ:
Để phân tích những gì bên trong dịch vụ tường lửa, chúng tôi sẽ sử dụng công cụ Windows Performance Recorder và Windows Performance Analyzer, một phần của Windows ADK .
Chúng tôi sẽ bắt đầu bằng cách ghi lại một số dữ liệu. Trong khi nghi phạm svchost.exe
đang rúc vào nền, hãy tải xuống tệp này , thêm nó dưới dạng hồ sơ, thiết lập Windows Performance Recorder như thế này và bắt đầu ghi âm:
Để bản ghi chạy trong 30 giây hoặc lâu hơn, sau đó lưu bản ghi. Sau khi lưu, bấm Mở trong WPA để mở ngay lập tức để phân tích.
Đây là nơi mọi thứ bắt đầu trở nên khó khăn. Trong trường hợp của tôi, tôi cần một gợi ý từ @ magicandre1981 để tìm đúng nơi, trong Hoạt động hệ thống → Sự kiện chung . Ở đó, số lượng các sự kiện RPC trông cao đáng ngờ:
Khoan xuống, Firewall của Windows Defender svchost.exe
được hiển thị rất nhiều vào các máy chủ bên win:Start
và win:Stop
các sự kiện:
Bước tiếp theo là tìm ra ai đã gửi các cuộc gọi RPC này. Bằng cách nhìn vào phía khách hàng, một svchost.exe
trường hợp khác có vẻ đáng ngờ:
Thật vậy, Process Hacker không thể phát hiện ra một dịch vụ chạy bên trong tiến trình đó, điều này cũng liên tục gây ra tải CPU:
Trong trường hợp này, Trình quản lý tác vụ của Windows đã thành công trong việc xác định dịch vụ:
Thật vậy, dịch vụ đã bị kẹt trong trạng thái Bắt đầu . Tôi đã tắt nó vì tôi không cần nó và tải CPU đã trở lại bình thường sau lần khởi động lại tiếp theo.
Tôi muốn bày tỏ lòng biết ơn của tôi đối với @HelpingHand và @ magicandre1981 có sự giúp đỡ trong các bình luận đã giúp điều này trở nên khả thi.
Như sau đó đã được phát hiện trong bài đăng TenForums , việc đặt lại Windows Defender Firewall khắc phục vấn đề này.
Sc config BFE type= own
sau đóSc config MpsSvc type= own