Você tem um vazamento de memória causado por um driver. Observe o alto valor da memória do kernel não-paginada. No seu caso, isso é mais de 3,7 GB. Você pode usar poolmon para ver qual driver está causando o alto uso.
Instale o Windows WDK , execute o poolmon, classifique-o via P após o tipo de conjunto, de modo que o non paged fique no topo e através de B depois dos bytes, para ver a tag que mais utiliza a memória. Execute o poolmon indo para a pasta onde o WDK está instalado, vá para Ferramentas (ou C:\Program Files (x86)\Windows Kits\Tools\x64
) e clique em poolmon.exe
.
Agora veja qual pooltag usa a maior parte da memória, como mostrado aqui:
Agoraabraumpromptdocmdeexecuteocomandofindstr.Parafazerisso,abraopromptdocmdedigitecdC:\Windows\System32\drivers
.Emseguida,digitefindstr/s__*.*
,onde__éatag(nomemaisàesquerdaempoolmon).Façaissoparaverqualdriverusaessatag:
Agora, vá para a pasta de drivers ( C:\Windows\System32\drivers
) e clique com o botão direito do mouse no driver em questão (intmsd.sys no exemplo de imagem acima). Clique em Propriedades, vá para a guia detalhes para encontrar o nome do produto. Procure uma atualização para esse produto.
Se o pooltag mostrar apenas os drivers do Windows ou estiver listado no pooltag.txt ( "C:\Program Files (x86)\Windows Kits\Debuggers\x64\triage\pooltag.txt"
)
você tem que usar xperf para rastrear o que causa o uso . Instale o WPT do Windows SDK , abra um cmd.exe como administrador e execute isto:
xperf -on PROC_THREAD+LOADER+POOL -stackwalk PoolAlloc+PoolFree+PoolAllocSession+PoolFreeSession -BufferSize 2048 -MaxFile 1024 -FileMode Circular && timeout -1 && xperf -d C:\pool.etl
capture 30 -60s do crescimento. Abra o ETL com o WPA.exe, adicione os gráficos do Pool ao painel de análise.
Coloque a coluna pooltag no primeiro lugar e adicione a coluna da pilha. Agora carregue os símbolos dentro do WPA.exe e expanda a pilha da tag que você viu no poolmon.
Agora,encontreoutrosdriversdeterceirosquevocêpodevernapilha.Aqui,atagThre
(Thread)éusadapeloAVKCl.exedaG-Data.Procureatualizaçõesdedriver/programaparacorrigi-lo.
OusuárioFMfn
durante a descompactação de arquivos:
AtagéusadapelodriverWiseFs64.sys
,quefazpartedoprograma"Wise Folder Hider". A remoção corrige o vazamento.
O usuário Samuil Dichev forneceu um rastreamento com um alto FMic
e Irp
de uso
Astagssãousadaspeloprograma
Na amostra do usuário chr0n0ss , o uso de FMic
e Irp
é causado pelo F-Secure Antivirus Suíte:
A remoção e o uso do Windows Defender corrigiram o problema para ele.