svchost lastet die CPU zu ~30% aus

[balu2000]

Hallo zusammen,

seit gestern habe ich Probleme mit einem der svchost.exe Prozesse.

Ich weiss, dass ich damit bei weitem nicht der einzige bin.

Damit ihr nicht das Gefühl habt, ich würde einfach eine schon tausendmal beantwortete Frage noch einmal stellen ohne selbst mal geschaut zu haben, hier die Ergebnisee meiner bisherigen (ca. 6 stündigen) Recherche (auch in diesem Forum):

Mir ist das aufgefallen, weil einige meiner Spiele plötzlich stark in den FPS eingebrochen sind (Fallout 3 z.B. von 30 auf 10).

Ich habe mir mal eine Process Explorer Software runtergeladen um zu schauen, welcher der Kindprozesse der svchost.exe, die so aus dem Ruder läuft, für den Schlamassel verantwortlich ist.

Die svchost.exe um die es geht hat nur einen Kindprozess und zwar mobsync.exe.

Ich habe mal danach gegoogelt und gesehen, dass das wohl nötig ist für den Netzwerkbetrieb meines Rechners.

Habe die mobsync.exe dann gekillt.

svchost.exe brauchte aber immernoch ~30% der CPU Leistung...

Habe auch automatisches WindowsUpdate ausgeschaltet, weil das ja teilweise auch zu einer hohen Auslastung durch die svchost.exe führen kann.

Hilft auch nix.

Bei genauerer Betrachtung sind in der betroffenen svchost.exe zwei Services registriert: rpcss.dll (Startfunktionalität für DCOM Dienste) und umpnpmgr.dll (Plug & Play).

Habe den DCOm Service über die dcomcnfg.exe deaktiviert. -> Kein Effekt.

Das einzige was noch übrig bleibt ist somit der Plug & Play Dienst.
Ich habe versucht den Dienst über Systemsteuerung\System und Wartung\Verwaltung\Dienste probeweise zu deaktivieren -> ist nicht möglich.

Habt ihr eine Idee was ich sonst noch machen kann?

Danke im voraus.

EDIT: wenn ich mir im Process Explorer die svchost.exe die Eigenschaften anschaue bekomme ich folgendes angezeigt:
http://www.imageflip.de/bild-hochladen-850_Threads.jpg

 

[Luxmanl525]

Hallo zusammen,

also ich würde an deiner Stelle mal nachfolgendes Programm durchlaufen lassen, rein sicherheitshalber, es handelt sich um "Malwarebytes Anti-Malware" und das sagt dir klar, ob da ein Prozeß nicht richtig tick oder gar eine Malware des Übels Lösung ist:

http://www.malwarebytes.org/

Ist voll funktionsfähig und das vielleicht beste Programm dieser Art.

So long....

 

[MagicAndre1981]

klick die Einträge mal an und poste den Stack

 

[balu2000]

@Luxmanl525: Das habe ich bereits drüber laufen lassen. Allerdings hat es keine Probleme gefunden.

@MagicAndre1981: Wenn ich mir den Stack so eines Threads anzeigen lassen möchte sagt er mir "Unable to access thread".

Eine Sache habe ich noch vergessen zu sagen:

Ich habe vor ein paar Tagen eine alte IDE-Festplatte angeschlossen, um noch ein paar Daten auf meine neue SATA-Festplatte zu schaufeln.

Die alte Platte habe ich mittlerweile wieder abgeklemmt. Kann es sein, das Plug & Play nun nach ihr sucht oder so?
Ist es also eine fehlerhafte BIOS Einstellung?

Anderer Gedanke:
Die Threads, die diese Auslastung hervorrufen beginnen ja alle mit ntdll.dll. Kann diese dll der Auslöser sein?

Grüße,
Christian

EDIT:

Habe die alte Platte nochmal angeschlossen. Hat nichts geholfen.

EDIT2:

Habe auch schon mal eine Systemwiederherstellung auf einen Zustand gemacht, als noch alles ok war. Hatte auch keinen Effekt.

 

[balu2000]

Ok, habe den Process Explorer jetzt mal als Admin ausgeführt (D'OH).

Die einzelnen Threads wechseln sehr oft ihre Position.
Mal hat einer ein Cycles Delta von 0 und kurz danach von 422.576.345 oder so. Danach wieder null.

Hier ist mal der Stack von einem der grade ein hohes Delta hat:

ntkrnlpa.exe!KeWaitForMultipleObjects+0xab7
ntkrnlpa.exe!KeWaitForSingleObject+0x492
ntkrnlpa.exe!PsGetCurrentThreadTeb+0x377
hal.dll!KfRaiseIrql+0xd1
hal.dll!KeRaiseIrqlToSynchLevel+0x70
hal.dll!HalEndSystemInterrupt+0x73
hal.dll!HalInitializeProcessor+0xcc1
ntdll.dll!RtlDeactivateActivationContextUnsafeFast+0xcc
ADVAPI32.dll!RegOpenKeyExW+0x258
ADVAPI32.dll!RegOpenKeyExW+0x123
ADVAPI32.dll!RegOpenKeyExW+0x1b
umpnpmgr.dll+0x4b3f
umpnpmgr.dll+0x44c5
umpnpmgr.dll+0x4718
umpnpmgr.dll+0x646a
RPCRT4.dll!NdrComplexArrayMarshall+0x1fbd
RPCRT4.dll!NdrStubCall2+0x27f
RPCRT4.dll!NdrServerCall2+0x1e
RPCRT4.dll!NdrComplexArrayMarshall+0x21f2
RPCRT4.dll!NdrComplexArrayMarshall+0x20a0
RPCRT4.dll!RpcBindingUnbind+0x46a
RPCRT4.dll!NdrOutInit+0x212
RPCRT4.dll!NdrComplexArrayMarshall+0x1e0c
RPCRT4.dll!I_RpcLogEvent+0x3c3
RPCRT4.dll!NdrComplexArrayMarshall+0x3a9
RPCRT4.dll!I_RpcSend+0x181
RPCRT4.dll!I_RpcSend+0x148
RPCRT4.dll!I_RpcSend+0x1ad
kernel32.dll!BaseThreadInitThunk+0x12
ntdll.dll!RtlInitializeExceptionChain+0x63
ntdll.dll!RtlInitializeExceptionChain+0x36

EDIT:

Habe die auslösenden Stacks gekillt.
CPU-Auslastung ist wieder normal.
Allerdings laufen die Spiele immer noch langsam.
Scheinbar hat das Problem größere Ausmaße...

EDIT2:

Hier nochmal ein Bild mit Administrator-Rechten:
http://www.imageflip.de/bild-hochladen-906_Threads_Admin.jpg

Die RPCRT4.dll scheint verantwortlich zu sein.

EDIT3:
Ich hab mal den CCleaner drüber laufen lassen. Das hat die Prozessoraulsastung von 25 auf 10% reduziert.
Vielleicht ist es doch irgendeine Art von Malware die das Problem auslöst.

EDIT4: Hab jetzt versucht den Kaspersky Online-Scanner auszuführen. Leider scheitert er immer bei der initialisierung (IE 7).

 

[MagicAndre1981]

die umpnpmgr.dll gehört zum Plug& Play Dienst. Ich kann da aber nicht erkennen warum du daurch so ein große CPU Auslastung hast

 

[balu2000]

Trotzdem danke für die Mühe!

 

[kneeslider]

Habe das selbe Problem.

wenn ich mir mal über /cmd ausgeben lasse, was denn so die svchost.exe in anspruch nimmt, spuckt der mir folgendes aus:

Microsoft Windows [Version 6.0.6001]
Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Anton>tasklist/svc | more

Abbildname PID Dienste
========================= ======== ============================================
System Idle Process 0 Nicht zutreffend
System 4 Nicht zutreffend
smss.exe 504 Nicht zutreffend
csrss.exe 636 Nicht zutreffend
wininit.exe 700 Nicht zutreffend
csrss.exe 712 Nicht zutreffend
services.exe 744 Nicht zutreffend
lsass.exe 756 SamSs
lsm.exe 764 Nicht zutreffend
winlogon.exe 864 Nicht zutreffend
svchost.exe 948 DcomLaunch, PlugPlay
svchost.exe 1008 RpcSs
svchost.exe 1056 WinDefend
Ati2evxx.exe 1132 Ati External Event Utility
svchost.exe 1152 Audiosrv, Dhcp, Eventlog, lmhosts, wscsvc
svchost.exe 1196 AudioEndpointBuilder, CscService, EMDMgmt,
hidserv, Netman, PcaSvc, SysMain,
TabletInputService, TrkWks, UxSms,
WdiSystemHost, WPDBusEnum, wudfsvc
svchost.exe 1212 AeLookupSvc, Appinfo, BITS, Browser,
IKEEXT, iphlpsvc, LanmanServer, MMCSS,
ProfSvc, RasMan, Schedule, seclogon, SENS,



Leider hab ich nun aber nicht so ganz den Plan was der nächste schritt wär, um mein Problem zu lösen.

 

[MagicAndre1981]

ihr könntet euch die Debugging Tools herunterladen und dann die Symbols für eure DLLs laden. Dann erkennt ProcessExplorer mehr Details in der ThreadAnsicht

 

[balu2000]

Welche Debugging Tools meinst du?

 

[MagicAndre1981]

Diese hier:

http://www.microsoft.com/whdc/devtools/debugging/