Eu fiz uma análise rudimentar e parece que é SearchIndexer.exe que está chamando os tiros. (parece estar fazendo o trabalho duro para SearchIndexer.exe que está ativo ao mesmo tempo)
Eu tenho um laptop Windows de 64 bits Pro com processador Intel Core 55. Percebi que sempre que eu começo meu sistema, o explorer.exe tem um pico de CPU consistentemente consumindo 24-30% da CPU o tempo todo, mesmo que não haja janelas do explorador. Eu corri Process Explorer e clique duas vezes para olhar para a pilha de discussão. SHLWAPI.dll! SHRegGetUSValueW parece consumir toda a CPU. Como eu acho a causa ainda mais?
Eu fiz uma análise rudimentar e parece que é SearchIndexer.exe que está chamando os tiros. (parece estar fazendo o trabalho duro para SearchIndexer.exe que está ativo ao mesmo tempo)
Você pode usar procmon.exe com um filtro para o segmento que você identificou como spiking (o TID) e ver mais detalhes do que o segmento está fazendo.
Como @ syneticon-dj menciona em seu comentário, ele está acessando um valor de registro.
Eu tenho comportamento semelhante (mesmo pico de CPU, mesmo culpado na pilha de chamadas) e identifiquei vários acessos de registro que parecem estar relacionados a alguns compartilhamentos de rede que mapeei como unidades marcadas como "reconectar em logon. "
Por exemplo, mapeei \machine\c$\ como minha unidade X: e vejo esses acessos correspondentes:
RegOpenKey (SUCCESS): HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##machine#c$
RegQueryValue (NAME NOT FOUND): HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##machine#c$\_LabelFromReg
RegCloseKey (SUCESSO):
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\##machine#c$
Eu sei que eu tinha aberto anteriormente alguns arquivos (no Notepad ++) dessa unidade, navegando com o explorer.exe e usando o comando "Editar com o Notepad ++" do menu de contexto.
Curiosamente, também tenho outros compartilhamentos mapeados e arquivos abertos atualmente e não estou vendo os mesmos acessos de registro para esses compartilhamentos.
Apesar de fechar todos os arquivos e não ter mais a janela do Explorer aberta para essa unidade, eu ainda estava vendo os acessos do Registro.
Uma vez que eu apertei o X vermelho para fechar a janela do Explorer, eu nunca vi mais acessos de registro daquele encadeamento. Isso ocorre apesar do mesmo processo explorer.exe permanecer ativo de acordo com o Process Explorer e o mesmo TID (ainda mostrando SHLWAPI.dll!SHRegGetUSValueW+0x1a4 como o endereço inicial) ainda existente (em um estado Wait: UserRequest).
Se alguém puder fornecer mais comentários sobre o que estou vendo aqui, eu adoraria a entrada. Estou especialmente confuso com o acesso ao registro que está ocorrendo apenas para um dos compartilhamentos que mapeei. Além disso, eu esperava que o processo do explorador terminasse quando fechei a janela, mas isso não aconteceu (às vezes acontece). Reabrir o Explorer da barra de tarefas "pin" resulta em uma nova janela do Explorer a partir do processo explorer.exe original (mesmo PID e hora de início).
Tags windows windows-explorer