Ternyata, ini terkait dengan Internet Connection Sharing (ICS).
Berikut ini, saya ingin menggambarkan bagaimana saya sampai pada kesimpulan ini dengan harapan itu membantu orang lain dengan masalah yang sama.
Langkah pertama adalah mengidentifikasi layanan yang menyebabkan masalah. Sementara Task Manager Windows sendiri juga telah belajar untuk melakukan ini baru-baru ini, saya menggunakan Process Hacker yang juga dapat mengedit konfigurasi layanan.
Mengklik dua kali svchost.exe
instance yang menyinggung dan memilih tab Layanan menunjukkan layanan mana yang berjalan di dalam proses itu:
svchost.exe
dapat meng-host banyak layanan Windows secara bersamaan, sehingga sulit untuk mengidentifikasi layanan mana yang menyebabkan masalah. Sementara versi terbaru dari Windows 10 biasanya mengisolasi layanan ketika RAM yang cukup tersedia , beberapa layanan masih berbagi proses.
Ini adalah kasus yang demikian, dan cara termudah untuk mengidentifikasi layanan mana yang menyebabkan masalah adalah dengan memisahkannya.
Peretas Proses dapat melakukan ini. Di tab Layanan windows utamanya , kami dapat mengonfigurasi apakah suatu layanan dapat berbagi proses:
Setidaknya dua dari tiga layanan yang dicurigai perlu dikonfigurasi sebagai Proses Sendiri untuk memastikan mereka terpisah di masa depan.
Rupanya, Windows Defender tidak suka pengguna ikut campur dengan konfigurasi layanannya, jadi untuk berhasil mengubah pengaturan ini, saya perlu
- beri grup Administrators Akses Penuh pada layanan itu,
- nonaktifkan layanan,
- reboot agar layanan dihentikan (tidak dapat dihentikan secara terpisah),
- ubah jenis layanan menjadi Proses Sendiri dan aktifkan kembali layanan (setel ke Mulai Otomatis ) dan
- reboot untuk terakhir kalinya untuk menerapkan perubahan ini.
Setelah itu, pelaku svchost.exe
hanya meng-host layanan tunggal, jadi kami memiliki tersangka:
Untuk menganalisis apa yang terjadi di dalam layanan firewall, kami akan menggunakan alat Windows Performance Recorder dan Windows Performance Analyzer, bagian dari Windows ADK .
Kami akan mulai dengan merekam beberapa data. Sementara tersangka svchost.exe
membuang di latar belakang, unduh file ini , tambahkan sebagai profil, atur Windows Performance Recorder seperti ini dan mulai rekaman:
Biarkan rekaman berjalan sekitar 30 detik, kemudian simpan rekaman. Setelah menyimpan, klik Buka di WPA untuk segera membukanya untuk analisis.
Di sinilah segalanya mulai menjadi rumit. Dalam kasus saya, saya memerlukan petunjuk dari @ magicandre1981 untuk mencari di tempat yang tepat, di bawah System Activity → Generic Events . Di sana, jumlah acara RPC tampak sangat mencurigakan:
Mengebor ke bawah, Firewall Pembela Windows svchost.exe
banyak muncul di sisi Serverwin:Start
dan win:Stop
acara:
Langkah selanjutnya adalah mencari tahu siapa yang mengirim panggilan RPC ini. Dengan melihat di sisi klien, svchost.exe
contoh lain tampak mencurigakan:
Memang, Process Hacker tidak dapat mendeteksi layanan yang berjalan di dalam proses itu, yang juga secara konsisten menyebabkan beban CPU:
Dalam kasus ini, Task Manager Windows berhasil mengidentifikasi layanan:
Memang, layanan macet di negara Memulai . Saya telah menonaktifkannya karena saya tidak membutuhkannya, dan beban CPU telah kembali normal setelah reboot berikutnya.
Saya ingin mengucapkan terima kasih kepada @HelpingHand dan @ magicandre1981 yang membantu dalam komentar membuat ini mungkin.
Seperti yang kemudian ditemukan di posting TenForums , mengatur ulang Windows Defender Firewall memperbaiki masalah ini.
Sc config BFE type= own
kemudianSc config MpsSvc type= own