Windows 10 Fall Creators Updateの後、svchost.exeインスタンスは常にCPU時間を使用しています

結局のところ、これはインターネット接続共有（ICS）に関連していました。

以下では、同様の問題を抱えている他の人々の助けになることを願って、この結論に至った経緯について説明します。

最初のステップは、問題の原因となっているサービスを特定することです。 Windowsのタスクマネージャーもこれを行う方法を最近学習しましたが、サービスの構成を編集することもできる Process Hacker を使用しました。

問題のsvchost.exeインスタンスをダブルクリックし、Serviceタブを選択すると、そのプロセス内で実行されているサービスが表示されます。

svchost.exeは、多くのWindowsサービスを同時にホストできるため、問題の原因となっているサービスを特定することが困難です。 通常、Windows 10の最新バージョンでは、十分なときにサービスを分離しますRAMが使用可能 ですが、一部のサービスはまだプロセスを共有しています。

これはそのような場合であり、問​​題を引き起こしているサービスを特定する最も簡単な方法は、それらを分離することです。

プロセスハッカーはこれを行うことができます。メインウィンドウのServiceタブで、サービスがプロセスを共有できるかどうかを構成できます。

3つの疑わしいサービスのうち少なくとも2つをOwn Processとして構成して、将来的に分離されるようにする必要があります。

どうやら、Windows Defenderは、ユーザーがサービスの構成をいじるのを好まないので、この設定を正常に変更するには、

• そのサービスにAdministratorsグループFull Accessを付与し、
• サービスを無効にし、
• 再起動してサービスを停止します（個別に停止することはできません）。
• サービスの種類をOwn Processに変更し、サービスを再度有効にします（Auto Startに設定）および
• 最後にもう一度リブートして、これらの変更を適用します。

その後、問題のあるsvchost.exeは単一のサービスのみをホストするため、容疑者がいます：

ファイアウォールサービスの内部を分析するために、Windows Performance RecorderとWindows Performance Analyzerツールを使用します。これは Windows ADK の一部です。

データを記録することから始めます。容疑者svchost.exeがバックグラウンドで動いている間に、ダウンロード このファイル をプロファイルとして追加し、Windows Performance Recorderを次のように設定して、記録を開始します。

記録を30秒ほど実行してから、記録を保存します。保存後、WPAで開くをクリックして、すぐに分析用に開きます。

これは、物事がトリッキーになるところです。私の場合、System Activity→Generic Eventsの下の正しい場所を見るには、@ magicandre1981からのヒントが必要でした。そこでは、RPCイベントの数が疑わしいほど高く見えました。

ドリルダウンすると、Windows Defender Firewallのsvchost.exeがwin:Startおよびwin:StopイベントのServer側に多く表示されていました。

次のステップは、これらのRPC呼び出しを送信したユーザーを見つけることでした。クライアント側を見ると、別のsvchost.exeインスタンスが不審に見えていました。

実際、Process Hackerは、そのプロセス内で実行されているサービスを検出できませんでした。これにより、一貫してCPU負荷が発生していました。

この場合、Windowsのタスクマネージャはサービスの識別に成功しました。

実際、サービスはStarting状態でスタックしていました。必要ないので無効にし、次回の再起動後にCPU負荷が通常に戻った。

コメントで助けてくれた@HelpingHandと@ magicandre1981に感謝の意を表します。

TenForumsの投稿 で後に発見されたように、Windows Defender Firewallをリセットすると、この問題が修正されます。