Freigeben über

Behandeln von Microsoft Defender Antivirus-Leistungsproblemen mit dem Prozessmonitor

  • Artikel

Tipp

Sehen Sie sich zunächst die häufigsten Gründe für Leistungsprobleme an, z. B. eine hohe CPU-Auslastung. Weitere Informationen finden Sie unter Behandeln von Leistungsproblemen im Zusammenhang mit Microsoft Defender Antivirus-Echtzeitschutz (RTP) oder Überprüfungen (geplant oder bedarfsgesteuert). Führen Sie dann **Microsoft Defender Antivirus Leistungsanalyse**Dieses Tool hilft dabei, die Ursache einer hohen CPU-Auslastung in Microsoft Defender Antivirus zu identifizieren, unabhängig davon, ob es sich um die ausführbare Datei des Antimalware-Diensts, den Microsoft Defender Antivirus-Dienst oder MsMpEng.exe handelt. Wenn die Microsoft Defender Antivirus-Leistungsanalyse die Grundursache der hohen CPU-Auslastung nicht identifiziert, fahren Sie mit der Ausführung des Prozessormonitors fort. Das letzte Tool in Ihrem Toolkit für die Ausführung ist Windows Performance Recorder UI (WPRUI) oder Windows Performance Recorded (WPR-Befehlszeile).

Erfassen von Prozessprotokollen mithilfe des Prozessmonitors

Process Monitor (ProcMon) ist ein erweitertes Überwachungstool, das Echtzeitdaten zu Prozessen bereitstellt. Es kann verwendet werden, um Leistungsprobleme zu erfassen, z. B. eine hohe CPU-Auslastung, und um Anwendungskompatibilitätsszenarien zu überwachen, sobald sie auftreten.

Es gibt zwei Möglichkeiten, eine Prozessmonitor-Ablaufverfolgung (ProcMon) zu erfassen:

  1. Verwenden des MDE Client Analyzer

  2. Manuell

Verwenden des MDE Client Analyzer

  1. Laden Sie die MDE Client Analyzer herunter.

  2. Führen Sie die MDE Client Analyzer mithilfe von Live Response oder lokal aus.

    Tipp

    Stellen Sie vor dem Starten der Ablaufverfolgung sicher, dass das Problem reproduzierbar ist. Schließen Sie außerdem alle Anwendungen, die nicht zur Vervielfältigung des Problems beitragen.

  3. Ausführen der MDE Client Analyzer mit den Schaltern -c und -v

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manuell

  1. Laden Sie Prozessmonitor v3.89 in einen Ordner wie C:\tempherunter.

  2. So entfernen Sie die Markierung der Datei im Web:

    1. Klicken Sie mit der rechten Maustaste aufProcessMonitor.zip, und wählen Sie Eigenschaften aus.

    2. Suchen Sie auf der Registerkarte Allgemein nach Sicherheit.

    3. Aktivieren Sie das Kontrollkästchen neben Blockierung aufheben.

    4. Wählen Sie Anwenden aus.

      Screenshot: Seite

  3. Entzippen Sie die Datei in C:\temp , sodass der Ordnerpfad lautet C:\temp\ProcessMonitor.

  4. Kopieren Sie ProcMon.exe auf den Windows-Client oder Windows-Server, den Sie behandeln möchten.

    Tipp

    Stellen Sie vor dem Ausführen von ProcMon sicher, dass alle anderen Anwendungen, die nicht mit dem Problem mit hoher CPU-Auslastung zusammenhängen, geschlossen sind. Durch diesen Schritt wird die Anzahl der zu überprüfenden Prozesse minimiert.

  5. Sie können ProcMon auf zwei Arten starten.

    1. Klicken Sie mit der rechten Maustaste aufProcMon.exe, und wählen Sie Als Administrator ausführen aus.

    • Da die Protokollierung automatisch gestartet wird, beenden Sie die Erfassung, indem Sie das Lupensymbol auswählen oder STRG+E drücken.

      Screenshot: Lupensymbol

    1. Um zu bestätigen, dass die Aufnahme beendet wurde, suchen Sie nach einem roten X auf dem Lupensymbol.

      Screenshot: Roter Schrägstrich Screenshot: Symbol

    2. Führen Sie die Befehlszeile als Administrator aus, und führen Sie dann im Pfad Prozessmonitor Folgendes aus:

      Screenshot: Cmd-Procmon

    Tipp

    Machen Sie das ProcMon-Fenster beim Erfassen von Daten so klein wie möglich, damit Sie die Ablaufverfolgung ganz einfach starten und beenden können. Screenshot: Seite mit minimiertem Procmon

  6. Legen Sie nach Abschluss von Schritt 6 Filter fest, indem Sie OK auswählen. Sie können die Ergebnisse filtern, nachdem die Erfassung abgeschlossen ist.

    Screenshot der Seite, auf der

  7. Um die Aufnahme zu starten, wählen Sie erneut das Lupensymbol aus.

  8. Reproduzieren Sie das Problem.

    Tipp

    Warten Sie, bis das Problem reproduziert wurde, und notieren Sie sich den Zeitstempel, wenn die Ablaufverfolgung beginnt.

  9. Nach der Erfassung von zwei bis vier Minuten Prozessaktivität bei hoher CPU-Auslastung beenden Sie die Erfassung, indem Sie auf das Lupensymbol klicken.

  10. Um die Aufnahme mit einem eindeutigen Namen im .pml Format zu speichern, wechseln Sie zu Datei , und klicken Sie dann auf Speichern.... Vergewissern Sie sich, dass Sie die Optionsfelder Alle Ereignisse und PML (Native Process Monitor Format) auswählen.

    Screenshot: Seite

  11. Für eine bessere Nachverfolgung ändern Sie den Standardpfad von C:\temp\ProcessMonitor\LogFile.PML in C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML , wo:

  • %ComputerName% ist der Gerätename.
  • MMDDYEAR ist der Monat, Tag und Jahr.
  • Repro_of_issue ist der Name des Problems, das Sie reproduzieren möchten.

Tipp

Wenn Sie über ein funktionierendes System verfügen, möchten Sie möglicherweise ein Beispielprotokoll zum Vergleichen abrufen.

  1. Zippen Sie die .pml Datei, und übermitteln Sie sie an Microsoft-Support.