Datenträger arbeitet mit Volllast nach 5 Minuten von Inaktivität (svchost.exe)

Meine SSD ist vor kurzem gestorben und ich bin jetzt wieder auf einer HDD. Die sind natürlich relativ laut und man hört wenn sie arbeitet.
Ich schlafe mit meinem PC an und jedes mal wenn ich den PC für 5 Minuten alleine lasse, fängt er an unter Vollast zu arbeiten.
Der Prozess der dafür verantwortlich ist, ist svchost.exe (LocalSystemNetworkRestricted) (Screenshot vom Ressourcenmonitor)
Wenn ich nur eine Taste drücke, wird alles unterbrochen (da das System merkt, dass ich "wieder da" bin).
Auto-Defrag ist bei mir deaktiviert, kann es also nicht sein (ich hatte den Verdacht vorher).

Kann mir jemand sagen, worum es hier geht? Systemspezifisch von Windows selbst oder Malware/RAT?

Unter anderem sehe ich ab und zu (ca. 1 mal pro Tag) 2 iexplorer.exe auftauchen unter svchost.exe [Screen]. Wahrscheinlich kein Zusammenhang aber dennoch verdächtig und beunruhigend. Ich terminiere den Prozess jedes mal, wenn ich es sehe.

Danke im Voraus.

Wenn unter Windows 7 die Festplatte erhöhte Aktivitäten anzeigt, so wird im Hintergrund die Festplatte defragmentiert. Diese Funktion schaltet sich bei Inaktivität meist automatisch ein.

Zum Vergrößern anklicken....

Quelle: http://www.windows7inside.de/windows-7-tipps/sicher/automatische-defragmentierung-deaktivieren/

Wenn du meinen Thread gelesen hättest, anstatt eine Default-Antwort zu pasten, dann hättest du folgendes gesehen:

Auto-Defrag ist bei mir deaktiviert, kann es also nicht sein (ich hatte den Verdacht vorher).

Zum Vergrößern anklicken....

Dennoch, danke für deine Mühe.

Automatisches Windows Update aktiv?
Wenn ichs richtig weis, kannst du dir doch über den ProcExp anzeigen lassen welcher Dienst genau das ist der da losrennt. Wenn man den kennt, weis man was los ist.

Wirf mal den Ressource Monitor an und schau, was der zur Aktivität sagt.

wirelessy schrieb:

Wirf mal den Ressource Monitor an und schau, was der zur Aktivität sagt.

Zum Vergrößern anklicken....

Jetzt mal ehrlich, Leute. Nichts für Ungut aber liest ihr die Threads hier in computerbase oder antwortet ihr einfach zum Titel?

Zuerst baizon der mir sagt, dass es Defrag ist obwohl ich im Thread klar und deutlich sage, dass es deaktiviert ist. Jetzt ratest Du mir den Ressource Monitor anzugucken, wenn ich wortwörtlich ein Screenshot davon im Thread habe.

Automatisches Windows Update aktiv?
Wenn ichs richtig weis, kannst du dir doch über den ProcExp anzeigen lassen welcher Dienst genau das ist der da losrennt. Wenn man den kennt, weis man was los ist.

Zum Vergrößern anklicken....

Kein automatisches Windows Update.
Ich hab im ProcExp geguckt, aber es ist halt generic svchost.exe, wie man im Screen sieht.

Oh damn, hat bei mir die Morgenverplantheit zugeschlagen. Sorry!
Dann anders: Erweiter das Spiel mal und such dir mit dem Process Explorer/Monitor (findest du beides in der Sysinternals Suite) mal den Subprozess vom svchost raus, der da die Aktivität verursacht. Ggfs. mitm Procmon direkt mitschneiden, was er denn da gerade genau macht.

Hmm... isses die originale Windows eigene svchost.exe? Also zeigt der Processpfad zur Orignalen File? Dann ist eigentlich ein Befall zumindest fast (es seie den es hat sich was an den Prozess gehängt, das siehst du mit dem Tool) auszuschließen. Auch wenn es die Generic svchost.exe ist, dahinter steht dann idr ein Dienst. Es geht also darum rauszufinden, welcher das ist.

Du könntest mal das hier versuche, damit dürftest du weiter reinschauen können.
http://www.tecchannel.de/sicherheit...ss_analyzer_prozesse_auf_risiken_untersuchen/

Installiere das WPT aus dem 8.1 SDK (http://social.technet.microsoft.com...tall-the-windows-performance-toolkit-wpt.aspx) (das funktioniert auch unter Windows 7), öffne die Eingabeaufforderung (cmd.exe) als Admin und führe diesen Befehl aus:


(passe den Pfad an, wenn du keinen Ordner C:\temp hast)

Wenn du nach 5 Minuten wieder die Auslastung hast, warte noch 20s und drücke dann eine Taste zum Stoppen. Die erstellte ETL Datei aus dem Ordner C:\Temp packst du als 7z/RAR und lädst sie hoch (OneDrive.com, Dropbox) und schickst mir einen Link. Somit sehe ich dann genau was Windows macht.

Wie dem auch sei, ich habe mir im Process Monitor Log angeschaut woran svchost.exe nach der Inaktivität arbeitet. Er geht durch eine große Menge an Dateien und macht immer wieder den gleichen Prozess:
Create File > Set Basic Information File > Query Attribute Tag File > Create File Mapping > Query Standard Information File > Create File Mapping > Close file.

Dies macht er bei verschiedenen Arten von Dateien:

•Programme
•System32/SysWOW64 mit u.a. kernel, taskhost.exe
•Schriftarten

Generell eine arbiträre Selektion an Dateien.
Ist das eine Art Indexierungsprozess? Es ist anscheinend nicht dazu befugt File Mapping zu erstellen aber ich frage mich welchem Zweck dieser Prozess dient.
System-standard oder Mal-/Spyware um einen Index meiner letzten Dateien zu haben?
Es scheint, dass diese Instanz von svchost nicht mit dem Internet verbunden ist, kann ich allerdings nicht 100% versichern.
Und das macht er jeden Tag und das mit Dateien die ich nie angefasst habe (zumindest nicht direkt, allerdings nehme ich mal an dass Word/Photoshop auch Schriftarten lädt von daher kann das auch falsch sein).

Danke im Voraus.

gib mir den xperf trace. Da sieht man besser was Windows macht.