Windows 10-Speicherlecksuche (xperf / WPA) mit Prozess "Unbekannt"

639
chr0n0ss

Ich habe ein Problem mit dem Speicherverlust von Windows 10. Ich habe 4 GB physischen Speicher, der meistens von "nicht ausgelagertem Pool" belegt wird RamMap belegt ist, der leider keinem einzelnen Prozess zugeordnet werden kann. Im Allgemeinen summieren sich die Prozesse im Task-Manager nicht zur Ressourcennutzung eines solchen Maßstabs (die größten Prozesse verfügen über einen zweistelligen MB-Arbeitsspeicher). Mit zunehmender Betriebszeit wird es noch schlimmer. Leider läuft dieser Computer in einer industriellen Umgebung und muss normalerweise ununterbrochen laufen. Derzeit sperrt es alle paar Wochen und muss manuell zurückgesetzt werden.

In der ausführlichen Antwort von magicandre1981 auf diese Frage habe ich die Tags FMic und Irp als die Haupttäter identifiziert, die poolmon verwenden ( siehe Bild ).

Nach der Verwendung von xperf zum Aufzeichnen einiger Minuten von Daten wird in Windows Performance Analyzer die meiste Speicherverwendung unter diesen Tags in der Stack-Ebene "n / a" nach Prozess "Unbekannt" ( siehe Abbildung ) verwendet.

Die Speicherzuordnungen unter beiden Tags bestehen aus 1 KB- Blöcken oder kleiner, jeweils etwa 600 ( FMic, Irp Detail).

Ich denke, es steht außer Frage, dass in diesem System ein Speicherleck vorliegt. Was könnte ich sonst versuchen, den fehlerhaften Prozess oder Treiber zu isolieren?

Danke und viele Grüße

Björn

EDIT 2018-07-11: Folgendes wurde mit WPA aufgenommen.

Höchste Stufe mit 350 MB für einen Pfad

Expansion bringt zwei 100 MB Straftäter

Das Erweitern der ersten zeigt viele kleine Zuweisungen

Wenn das Detail nicht tief genug ist, kann ich die ETL nach einigen Einrichtungsarbeiten (zwei Tage Download-Link) bereitstellen.

Die fehlerhaften Prozesse scheinen von "F-Secure Client Security" (Speicherverlust?) Zu stammen. Kann ich etwas anderes tun, als sich bei F-Secure zu beschweren?

BEARBEITEN SIE 2018-07-16: Nach dem Entfernen von F-Secure (jetzt mit Windows Defender) vor einigen Tagen ist der nicht ausgelagerte Pool mit etwa 200 MB stabil. Problem gelöst, scheint es.

1
Erweitern Sie den Stack-Eintrag [Root] für das Tag. N / a bedeutet, dass kein Wachstum während des Captures stattfand, also kein Stack. magicandre1981 vor 6 Jahren 0
Leider sind die [Root] -Einträge insgesamt klein genug. Wenn ich das richtig verstehe, müsste ich nur länger erfassen, um sinnvolle Einträge unter root zu erhalten. Danke, ich werde es versuchen. chr0n0ss vor 6 Jahren 0
[Diese WPRP-Datei herunterladen] (https://www.dropbox.com/s/886sft1bgc1re34/PoolTagLeak_FMic_IRP.wprp?dl=0) Führen Sie ** wpr -start C: \ PoolTagLeak_FMic_IRP.wprp ** aus. Nehmen Sie 5-6 Minuten auf und starten Sie ** wpr.exe -stop C: \ pool.etl **. Dies erfasst nur Stapel der 2 Tags, daher ist die Datei kleiner und Sie können sie länger ausführen. magicandre1981 vor 6 Jahren 0
Vielen Dank für das Profil. Ein paar Minuten der Aufnahme haben mich nicht viel aufgeklärt, ich versuche gerade, es länger zu laufen. In RamMap scheint es, als würde der nicht ausgelagerte Pool zwischen 50 und 100 MB pro Stunde wachsen. Ich könnte annehmen, dass eine längere Aufnahme ein klareres Bild ergibt. chr0n0ss vor 6 Jahren 0
Eine 50-minütige Einnahme zeigte keinen offensichtlichen "Verstoß"; Versuchen Sie eine längere Aufnahme. chr0n0ss vor 6 Jahren 0
Dies sollte genügend Daten enthalten. Zeigen Sie ein Bild oder teilen Sie die (gezippte) ETL. magicandre1981 vor 6 Jahren 0
Danke, dass Sie mit mir getragen haben. Ich hatte das Capture seit ungefähr zwei Tagen laufen, aber die ETL-Datei scheint weniger zu enthalten. Hinzufügen der Bilder zur Frage. chr0n0ss vor 6 Jahren 0
ok, du hast die Ursache gefunden. Es ist die F-Secure Management Agent-DLL. Aktualisieren Sie also F-Secure. Wenn dies nicht hilft, entfernen Sie es. Wenn das Problem nicht mehr besteht, melden Sie es zur Unterstützung und versuchen Sie es mit einer anderen Antivirus-Suite von Drittanbietern, wenn Defender Ihnen nicht ausreicht. magicandre1981 vor 6 Jahren 0
Großartig, nochmals vielen Dank für die Hilfe! F-Secure ist die Unternehmensrichtlinie. Ich werde ein internes Ticket erheben und sie bitten, es an F-Secure weiterzuleiten. Ich werde mich melden, wenn ich Neuigkeiten höre. chr0n0ss vor 6 Jahren 0
Haben andere Geräte in Ihrem Unternehmen dasselbe Problem, wenn alle F-Secure verwenden? magicandre1981 vor 6 Jahren 0
Die IT war sich nicht ganz sicher, ob sie Erfolg haben, wenn sie sich bei F-Secure beschweren. Die Sache ist, dass dieser PC als "Brücke" zwischen einem Internet-gekoppelten LAN und einem Produktionsanlagen-LAN verwendet wird. Das einzige, was es wirklich tut, ist VNC auszuführen - für ungefähr zehn Benutzer. Die meisten von ihnen bleiben beim Beenden ihrer Sitzung angemeldet. In der Regel könnten mehrere F-Secure-Clients parallel ausgeführt werden, jedoch nur ein Dienst. Vielleicht konnte der Dienst damit nicht fertig werden. Da kein Benutzer über physischen Zugriff verfügt, hat sich die IT entschieden, F-Secure zu entfernen und Windows Defender zu verwenden. Nochmals vielen Dank für die Hilfe! :) chr0n0ss vor 6 Jahren 0
Übrigens, um Ihre Frage zu beantworten: Nein, wir haben dieses Problem auf keinem anderen Gerät gesehen. Die meisten Geräte verwenden jedoch immer noch Windows 7. Dies ist das erste Windows 10-Gerät, das ich persönlich gesehen habe. Auch die IT schien das Problem nicht zu kennen. chr0n0ss vor 6 Jahren 0
ok, scheint ein Problem mit dem speziellen Zweck des Geräts zu sein. Ich habe das Thema als doppelt markiert und Ihren Fall in das Thema eingefügt, damit andere Benutzer die Lösung einfacher sehen. magicandre1981 vor 6 Jahren 0

0 Antworten auf die Frage