Bem, vejo ~ 3,2 gigabytes de memória bloqueada pelo driver, que imediatamente se destacam como suspeitas.
Esse tipo de memória, Driver Locked Memory, é uma memória bloqueada por um driver no modo kernel. Tipicamente para o propósito de transferir pequenas quantidades de dados, geralmente para curtos períodos de tempo.
Então, se você tem um pedaço grande de memória bloqueada pelo driver, por um tempo longo , geralmente é um sinal de que algo não está certo.
Vou adivinhar aqui e acho que desde que você mencionou que é um servidor virtualizado, que é o driver de balão VMware que está fazendo isso. Não tenho dados suficientes para poder dizer por que está fazendo isso, mas há muitos casos e KBs de suporte VMware, como este , que especificamente fala sobre o driver de balão erroneamente retendo grandes quantidades de memória quando não deveria ser.
Você também deve considerar a possibilidade de que o driver de balão esteja se comportando como planejado e esteja tentando fazer com que a página do seu servidor perca a memória, pois precisa desesperadamente fornecer memória a outra VM no mesmo host.
Existe ainda outra possibilidade de que não seja um driver de memória dinâmica hypervisor, mas apenas um driver de dispositivo não autorizado.
Drivers geralmente alocam memória que é "marcada" com uma tag de 3 ou 4 caracteres que dá uma dica sobre qual driver foi responsável por fazer a alocação.
poolmon.exe, parte do Windows SDK / DDK, pode ajudar a diagnosticar.
Como eu disse, acho que é o melhor que posso fazer com os dados que tenho.