У меня установлен "черный экран" в качестве скринсэйвера. Иногда когда он запускается в простое, rundll32 грузит cpu на 30-40%. Не могу отследить Process Explorer что именно. Так как только пошевелишь мышкой скринсейвер выключается и rundll32 исчезает. Могу видеть по графику что грузил именно rundll32. Как можно отследить почему rundll32 грузит cpu в простое?

зы система чистая, НОД32, win7x64,

12sunflowers, можно попробовать с помощью ProcDump (https://technet.microsoft.com/en-us/sysinternals/dd996900.aspx) сделать дамп процесса rundll32.exe при высокой загрузке CPU (там есть такая опция).

Спасибо. Но дело в том, что процесс rundll32 запускается только в простое и ProcDump говорит что процесс не найден.

Сделал трассировку Procmon. не знаю это или нет?
http://s18.postimg.org/ro9tb3qrp/rundll32_trace.jpg (http://postimg.org/image/ro9tb3qrp/)

и ProcDump говорит что процесс не найден.
Там есть и опция -w (wait for the specified process to launch if it's not running).
Сделал трассировку Procmon.
Сохраните лог в PML-формате, заархивируйте и выложите на любой файлообменник.

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

f:\Downloads3\Procdump>procdump -c 20 -s 3 -n 3 -w rundll32.exe f:\Downloads3\Pr
ocdump\

ProcDump v7.1 - Writes process dump files
Copyright (C) 2009-2014 Mark Russinovich
Sysinternals - www.sysinternals.com
With contributions from Andrew Richards

Waiting for process named rundll32.exe...

Process: rundll32.exe (6044)
CPU threshold: >= 20% of system
Performance counter: n/a
Commit threshold: n/a
Threshold seconds: 3
Hung window check: Disabled
Log debug strings: Disabled
Exception monitor: Disabled
Exception filter: *
Terminate monitor: Disabled
Cloning type: Disabled
Concurrent limit: n/a
Avoid outage: n/a
Number of dumps: 3
Dump folder: f:\Downloads3\Procdump\
Dump filename/mask: PROCESSNAME_YYMMDD_HHMMSS


Press Ctrl-C to end monitoring without terminating the process.

[02:57:58] The process has exited.
[02:57:58] Dump count not reached.


f:\Downloads3\Procdump>

дамп не записался

лог трассировки большой, в архиве 500мб

дамп не записался
Значит, в этот раз CPU не нагружал?
лог трассировки большой, в архиве 500мб
Задайте фильтр по имени процесса и в меню Filter включите флажок Drop Filtered Events.

Цитата Petya V4sechkin:
Значит, в этот раз CPU не нагружал? »
Вроде бы как обычно нагружал. Пробовал несколько раз. Дамп не записывается. На простом процессе "блокнота" проверял, дамп записывается. Тут никак. Понижал порог загрузки ЦПУ. Процесс появляется но дамп ПроцДамп не пишет.

Цитата Petya V4sechkin:
Задайте фильтр по имени процесса и в меню Filter включите флажок Drop Filtered Events. »
вот
http://www.datafilehost.com/d/94de8424
http://rghost.ru/7PSymCX2s

12sunflowers, в логе стартуют два процесса rundll32.exe:
"C:\Windows\system32\RunDll32.exe" "C:\Windows\system32\WerConCpl.dll", LaunchErcApp -responsepester
C:\Windows\system32\rundll32.exe /d acproxy.dll,PerformAutochkOperations
Первый работает 0,2 секунды, второй - менее 0,1 секунды.
Не уверен, что именно они грузят.

Спасибо
А как еще можно посмотреть? Не знаете почему не создаются дампы?

Не знаете почему не создаются дампы? » - проге нужны права на запись в тот каталог, где будуь созданы дампы... Проверьте....

На простом процессе "блокнота" проверял, дамп записывается

Здравствуйте снова!
Еще раз Procdump попытался сделать дамп, и получилось! Оставил на 1час.
Через WinDbg выяснил что причина скорее всего aeinv.dll. И что это связано с задачей в планировщике Application Experience(это участие в улучшении ПО). Так ли это? Можно просто отключить эту задачу?
Дамп прилагаю
http://rghost.ru/6v4CZRx2H

Можно просто отключить эту задачу?
Можете тключить службу "Информация о совместимости приложений" и/или отключить задачи Application Experience в Планировщике.

12sunflowers, это задача ProgramDataUpdater - "Сбор телеметрических данных программы при участии в программе улучшения качества ПО".
Отключайте.

Еще раз Procdump попытался сделать дамп, и получилось! Оставил на 1час. »
можно сделать еще проще.
Запустите Process Explorer при загрузке rundll, и он покажет на нужный файл (например у меня был appraiser.dll), который и относится к разделу планировщика задач Application Experience.
Можно просто отключить эту задачу? »
Отключать не нужно. Просто оставьте ПК в покое на 10-20 минут, и все пройдет.