[Vista64] rundll processen nemen alle geheugen in gebruik?* - Windows clients

maandag 5 oktober 2009 22:02

Acties:

Topicstarter

Hallo,
ik gebruik windows vista,
af en toe loopt het fysiek geheugen helemaal vol tot 90% waardoor de pc aan de rand van vastlopen zit, en dit terwijl er 6 gb ram in zit. wanneer ik bij taakbeheer kijk staan er meerdere (4-6) Rundll32 files die allemaal erg veel geheugen gebruiken. Er draaien op dat moment geen echte programma's meer.
Ik snap er weinig van, komt iemand dit misschien bekend voor?

alvast bedankt

maandag 5 oktober 2009 22:06

Acties:

Xander

Waarschijnlijk heb je SuperFetch niet uitgeschakeld en zal Vista een groot deel van je RAM opslokken. Da's normaalgesproken geen probleem, mijn geheugenverbruik in Vista zit maar zelden onder de 99%.

Echter hoort dat niet tot vastlopers te leiden...

edit:

Hm, SuperFetch verklaart het hoge geheugenverbruik van die rundll32-processen alleen niet... Kun je misschien met Process Explorer eens naar de eigenschappen van deze processen kijken? Daaruit blijkt als het goed is waar het proces bij hoort.

[ Voor 34% gewijzigd door Xander op 05-10-2009 22:13 ]

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

dinsdag 6 oktober 2009 00:42

Acties:

TaraWij

Na het opnieuw opstarten heb je het probleem niet meer?
Gebruik je nog steeds SuperFetch of staat die nu uit? (Niet dat het slecht is, integendeel!)
Lees en interpreteer je die 90% wel juist? Neem desnoods even screenshots...
Als het daadwerkelijk zo is dan lijkt het dat je met een geheugen lek zit in een module of driver.

Lees even Coding Horror: Why Does Vista Use All My Memory? als je wil begrijpen wat er precies in grote lijnen aan de gang is, sommigen die nieuw zijn bij de veranderingen in Vista lezen het geheugen namelijk foutief uit... Men bedoelt normaal met het fysiek geheugen gebruik het gebruik van de applicaties zonder de gereserveerde ruimte van het OS, merk op dat de SuperFetch cache in deze ruimte geplaatst zal worden en je deze dus normaal gezien niet opmerkt onder het gebruik van je processen.

woensdag 7 oktober 2009 00:25

Acties:

RickSanchez

Topicstarter

Na het opstarten is het probleem inderdaad weer verdwenen.
Superfetch staat nog aan.
Ik weet niet of ik de 90% goed zie maar er is een wereld van verschil wanneer het op 10% staat en wanneer het op 90% staat qua snelheid.
Ik heb een screenshot bijgevoegd van taakbeheer.
Afbeeldingslocatie: http://img11.imageshack.us/img11/2042/taakbeheer.jpg

Afbeeldingslocatie: http://img11.imageshack.us/img11/2042/taakbeheer.jpg

woensdag 7 oktober 2009 01:00

Acties:

Verwijderd

Dit heeft inderdaad niets met Superfetch te maken. Probeer eens zoals eerder aangegeven met Process Explorer van Sysinternals te kijken wat deze processen zijn.

[edit]Dat staat er toch

[ Voor 9% gewijzigd door Verwijderd op 07-10-2009 02:19 ]

woensdag 7 oktober 2009 01:30

Acties:

Turdie

Draai is dit commando, dat kun je zien wat voor rundll32 processes het zijn, en belangrijker de /m optie laat de actieve dll's voor het proces zien.

tasklist /m /fi "imagename eq rundll32.exe" >C:\rundll32test.txt

(Output van dit commando wordt weg geschreven naar een logfile in C:\rundll32test.txt)

Verwijderd schreef op woensdag 07 oktober 2009 @ 01:00:
Dit heeft inderdaad niets met Superfetch te maken. Probeer eens zoals eerder aangegeven met Process Explorer van Systeminternals te kijken wat deze processen zijn.

offtopic:
Systeminternals bestaat niet, het was Sysinternals, nu Microsoft.

[ Voor 130% gewijzigd door Turdie op 07-10-2009 01:43 ]

woensdag 7 oktober 2009 07:26

Acties:

alt-92

ye olde farte

Ik zou zelf weer niet de root van de drive nemen ivm UAC en de default instellingen qua rechten, maar ok

En een titelfix die de lading beter dekt

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 8 oktober 2009 14:12

Acties:

TaraWij

Ga eerst naar de map waar je jou logs wilt, doe dan het aangepaste commando:

shadowman12 schreef op woensdag 07 oktober 2009 @ 01:30:

tasklist /m /fi "imagename eq rundll32.exe" >rundll32test.txt

Draai ook even dit commando zodat het duidelijk is waar het verbruik nu net op dat moment ligt:

tasklist /v /fi "imagename eq rundll32.exe" >rundll32test2.txt

Je bent wel in je screenshot het vinkje vergeten aan te zetten om de processen voor alle gebruikers te tonen, maar ik vraag me af of dit nog veel uitmaakt. Ook lijkt shadowman12 zijn methode me minder omslachtig dan uit te leggen hoe het in Process Explorer kan.

Zou een feature request moeten maken bij Sysinternals voor PE info te kunnen dumpen...

[ Voor 43% gewijzigd door TaraWij op 08-10-2009 14:17 ]

donderdag 8 oktober 2009 16:57

Acties:

RickSanchez

Topicstarter

Oke volgende keer dat het gebeurt doe ik die commands en maak ik ook een nieuw screenshot van taakbeheer met alle processen.
Deze post ik hier dan opnieuw. Vanavond waarschijnlijk al:P

donderdag 8 oktober 2009 17:34

Acties:

Turdie

TaraWij schreef op donderdag 08 oktober 2009 @ 14:12:
Ga eerst naar de map waar je jou logs wilt, doe dan het aangepaste commando:
[...]
tasklist /m /fi "imagename eq rundll32.exe" >rundll32test.txt 

Als de TS zijn DOS Box onder Run as Administrator draait, kan hij gewoon mijn commando gebruiken, maar dit is ook prima hoor. Ik ben mening dat je mag wel verwachten van iemand actief op dit forum, dat hij weet dat hij niks naar C:\ kan schrijven in Vista,als hij daar geen Administrator permissies voor heeft of dingen mee uitvoert.;).

TaraWij schreef op donderdag 08 oktober 2009 @ 14:12:
Zou een feature request moeten maken bij Sysinternals voor PE info te kunnen dumpen...

Dat hoeft helemaal niet, daar heeft Sysinternals een aparte tooltje voor namelijk PSLIST, onderdeel van de PSTools suite

[ Voor 77% gewijzigd door Turdie op 08-10-2009 18:51 ]

donderdag 8 oktober 2009 18:35

Acties:

TaraWij

Als administrator draaien is inderdaad ook een optie, zo kan hij alle processen zien alhoewel daar vermoedelijk het probleem niet zal liggen. Maar aangezien dit niet nodig is en het niet netjes is om naar C:\ te schrijven heb ik het dan maar anders opgesteld. Voor tasklist gewoon uit te voeren heb je geen extra permissies nodig.

Helaas toont PSList niet alle informatie die je met PE kan tonen, ook werkt het wat handiger een gebruiker te vragen om eenmalig een dump van PE te maken in plaats van verschillende programma's te downloaden, verschillende commando's uit te voeren en alle resultaten netjes samen terug te sturen.

donderdag 8 oktober 2009 19:29

Acties:

RickSanchez

Topicstarter

Ik heb beide commands uitgevoerd

Hieronder volgen ze beide

Eerst over de processen:
http://www.mijnbestand.nl/Bestand-RP8QJVMOK8YK.txt

Dan over het gebruik:
http://www.mijnbestand.nl/Bestand-SKJKPLXNIYOM.txt

donderdag 8 oktober 2009 19:59

Acties:

TaraWij

Heb met een scriptje even snel alle dlls uit je log gehaald en ze dan één voor één laten zoeken in mijn System32 map, het ziet er naar uit dat je al niet iets extra hebt draaien dat slecht zou kunnen zijn voor je systeem.

Het kan wel mogelijk zijn dat één van je originele systeem dlls geinfecteerd of beschadigd is, dit kan je na gaan met het volgende commando uit te voeren in een commando prompt als administrator. Dit zal alle systeembestanden controleren en normaal gezien de beschadigde bestanden repareren. Plaats vervolgens C:\Windows\Logs\CBS\CBS.log ook even online zodat we kunnen nagaan of een van de dlls hierdoor gerepareerd is geweest, als dat niets oplevert moeten we het op lastigere plaatsen gaan zoeken.

sfc /scannow

Als het daar niet aan ligt dan denk ik dat het mogelijk aan een driver ligt of een of andere instellingen in je register dat er voor zorgt dat één van de gedeelde dlls voor veel geheugen gebruik of een geheugen lek gaat zorgen. Dit laatste is het geval als het geheugen gebruik blijft stijgen, misschien dat je dit ook eens kan nagaan door op regelmatige tijdstippen dit eens na te kijken. Om de 10 of 30 minuten ofzo, afhankelijk van hoe lang je achter de computer zit.

donderdag 8 oktober 2009 22:27

Acties:

Turdie

Misschien ook een optie is om gewoon een performance log te laten draaien met standaard counters en die dan te analyseren met de PAL Tool, dan zie je meteen waar het precies fout gaat en wanneer(op welke tijdstippen), waar je eventuele informatie kunt afleiden en verbanden uit kunt trekken

.
Ook zitten in de PAL Tool een aantal handige templates die zo in perfmon kunt laden.
Performance Analysis of Logs (PAL) Tool

Sowieso zou ik een full virusscan laten draaien en spyware scan.

[ Voor 30% gewijzigd door Turdie op 08-10-2009 22:39 ]

donderdag 8 oktober 2009 22:42

Acties:

RickSanchez

Topicstarter

Hier is het logje
maar volgens mij waren er geen fouten
http://www.2shared.com/file/8305436/6c0aadf6/CBS.html

vrijdag 9 oktober 2009 16:47

Acties:

RickSanchez

Topicstarter

Virus en spyware levert niets op