Freigeben über

Behandeln von Microsoft Defender Antivirus-Leistungsproblemen mit dem Prozessmonitor

Tipp

Sehen Sie sich zunächst die häufigsten Gründe für Leistungsprobleme an, z. B. eine hohe CPU-Auslastung. Weitere Informationen finden Sie unter Behandeln von Leistungsproblemen im Zusammenhang mit Microsoft Defender Antivirus-Echtzeitschutz (RTP) oder Überprüfungen (geplant oder bedarfsgesteuert). Führen Sie dann die Microsoft Defender Antivirus-Leistungsanalyse aus. Dieses Tool hilft dabei, die Ursache einer hohen CPU-Auslastung in Microsoft Defender Antivirus zu identifizieren, unabhängig davon, ob es sich um die ausführbare Datei des Antimalware-Diensts, den Microsoft Defender Antivirus-Dienst oder MsMpEng.exe handelt. Wenn die Microsoft Defender Antivirus-Leistungsanalyse die Grundursache der hohen CPU-Auslastung nicht identifiziert, fahren Sie mit der Ausführung des Prozessormonitors fort. Das letzte Tool in Ihrem Toolkit für die Ausführung ist Windows Performance Recorder UI (WPRUI) oder Windows Performance Recorded (WPR-Befehlszeile).

Erfassen von Prozessprotokollen mithilfe des Prozessmonitors

Process Monitor (ProcMon) ist ein erweitertes Überwachungstool, das Echtzeitdaten zu Prozessen bereitstellt. Es kann verwendet werden, um Leistungsprobleme zu erfassen, z. B. eine hohe CPU-Auslastung, und um Anwendungskompatibilitätsszenarien zu überwachen, sobald sie auftreten.

Sie können eine Prozessmonitor-Ablaufverfolgung (ProcMon) mithilfe der MDE Client Analyzer oder mithilfe eines manuellen Prozesses erfassen.

Verwenden des MDE Client Analyzer

  1. Laden Sie die MDE Client Analyzer herunter.

  2. Führen Sie die MDE Client Analyzer mithilfe von Live Response oder lokal aus.

    Tipp

    Stellen Sie vor dem Starten der Ablaufverfolgung sicher, dass das Problem reproduzierbar ist. Schließen Sie außerdem alle Anwendungen, die nicht zur Vervielfältigung des Problems beitragen.

  3. Führen Sie die MDE Client Analyzer mit den -c Schaltern und -v aus:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd -c -v

Manueller Prozess

  1. Laden Sie Process Monitor v4.01 in einen Ordner wie C:\tempherunter.

  2. So entfernen Sie die Markierung der Datei im Web:

    1. Klicken Sie mit der rechten Maustaste aufProcessMonitor.zip, und wählen Sie Eigenschaften aus.

    2. Suchen Sie auf der Registerkarte Allgemein nach Sicherheit.

    3. Aktivieren Sie das Kontrollkästchen neben Blockierung aufheben.

    4. Wählen Sie Anwenden aus.

    Screenshot: Entfernen des

  3. Entzippen Sie die Datei in C:\temp , sodass der Ordnerpfad lautet C:\temp\ProcessMonitor.

  4. Kopieren Sie Procmon.exe auf den Windows-Client oder Windows-Server, den Sie behandeln möchten.

    Tipp

    Stellen Sie vor dem Ausführen von ProcMon sicher, dass alle anderen Anwendungen, die nicht mit dem Problem mit hoher CPU-Auslastung zusammenhängen, geschlossen sind. Durch diesen Schritt wird die Anzahl der zu überprüfenden Prozesse minimiert.

  5. Sie können ProcMon auf zwei Arten starten: über Procmon.exe oder über die Befehlszeile.

    • Um Procmon.exezu verwenden, laden Sie es herunter, und öffnen Sie sie als Administrator.

      1. Wenn Sie ProcMon zum ersten Mal verwenden, klicken Sie auf Zustimmen , um den Process Monitor-Lizenzvertrag zu akzeptieren.

        Screenshot: Lizenzvertrag für Prozessmonitor

      2. Da die Protokollierung automatisch gestartet wird, beenden Sie die Erfassung, indem Sie die Schaltfläche Erfassen auswählen oder STRG+E drücken.

        Screenshot: Schaltfläche zum Beenden der ProcMon-Aufnahme

      3. Um zu bestätigen, dass die Aufzeichnung beendet wurde, suchen Sie auf der Schaltfläche Erfassen nach einem Pausensymbol, und löschen Sie dann die protokollierten Einträge, indem Sie die Schaltfläche Löschen auswählen oder STRG+X drücken.

        Screenshot: Schaltfläche zum Starten der ProcMon-Aufnahme

        Screenshot: Schaltfläche zum Löschen der ProcMon-Einträge

    • Um die Befehlszeile zu verwenden, öffnen Sie die Eingabeaufforderung als Administrator. Führen Sie dann den folgenden Befehl aus:

      Screenshot: Ein Eingabeaufforderungsfenster mit erhöhten Rechten zum Ausführen Procmon.exe

    Tipp

    Machen Sie das ProcMon-Fenster beim Erfassen von Daten so klein wie möglich, damit Sie die Ablaufverfolgung einfach starten und beenden könnenScreenshot: Desktop mit minimiertem Procmon

  6. Legen Sie Filter fest, indem Sie das Filtersymbol auswählen. Standard Filter sind standardmäßig festgelegt. Sie können die Ergebnisse auch filtern, nachdem die Erfassung abgeschlossen ist. Wenn Sie Filter angewendet haben, klicken Sie auf Übernehmen und dann auf OK.

    Screenshot: Öffnen des Fensters

    Screenshot: Fenster

  7. Um die Erfassung zu starten, wählen Sie erneut die Schaltfläche Erfassen aus.

  8. Reproduzieren Sie das Problem.

    Tipp

    Warten Sie, bis das Problem reproduziert wurde, und notieren Sie sich den Zeitstempel, wenn die Ablaufverfolgung beginnt.

  9. Nach der Erfassung von zwei bis vier Minuten Prozessaktivität bei hoher CPU-Auslastung beenden Sie die Erfassung, indem Sie auf die Schaltfläche Erfassen klicken.

  10. Um die Aufnahme mit einem eindeutigen Namen im .pml Format zu speichern, wechseln Sie zu Datei , und klicken Sie dann auf Speichern.... Vergewissern Sie sich, dass Sie die Optionsfelder Alle Ereignisse und PML (Native Process Monitor Format) auswählen.

    Screenshot: Seite

  11. Für eine bessere Nachverfolgung ändern Sie den Standardpfad von C:\temp\ProcessMonitor\LogFile.PML in C:\temp\ProcessMonitor\%ComputerName%_LogFile_MMDDYEAR_Repro_of_issue.PML , wo:

  • %ComputerName% ist der Gerätename.
  • MMDDYEAR ist der Monat, Tag und Jahr.
  • Repro_of_issue ist der Name des Problems, das Sie reproduzieren möchten.

Tipp

Wenn Sie über ein funktionierendes System verfügen, möchten Sie möglicherweise ein Beispielprotokoll zum Vergleichen abrufen.

  1. Zippen Sie die .pml Datei, und übermitteln Sie sie an Microsoft-Support.