Proces systemowy (PID 4) stale uzyskujący dostęp do dysku twardego


50

Ostatnio zauważyłem, że niektóre z naszych maszyn są powolne, głównie po uruchomieniu. Używając Resource Monitorwykryłem nadmierny dostęp do dysku z procesu systemowego z PID 4. Postępując zgodnie z kilkoma wskazówkami, wyłączyłem antywirusa w folderze System Volume Information, mając nadzieję, że to pomoże (nie chcę wyłączać przywracania systemu).

Wydaje się jednak, że PID 4 ma dostęp do wszystkiego . Podczas prostego rozpakowywania pliku ZIP widzę, że WinRAR odczytuje z pliku kilkaset KB na sekundę, ale PID 4 odczytuje z tego samego pliku dziesiątki MB na sekundę. Po anulowaniu operacji PID 4 uzyskuje dostęp do pliku przez około 30 sekund, odczytując wiele MB na sekundę. To nie jest błąd Monitora zasobów, ponieważ dysk jest wyraźnie aktywny i zatrzymuje się, gdy zasoby monitorują, że PID 4 w końcu odpoczywa.

Dlaczego ten cudowny proces uzyskuje dostęp do wszystkiego, do którego dostęp ma każdy inny proces?

Używam antywirusa AVG. Wyłączenie go nie zmieniło tego zachowania /

Co tu się dzieje?


1
PID 4 jest identyfikatorem procesu dla procesu systemu Windows. W rzeczywistości jest podobny do PID 1 w systemach Unix. Wiele usług realizowanych w ramach 4. PID
sysadmin1138

Czy usługi nie działają w ramach własnych procesów? W każdym razie, nawet jeśli tak jest, dlaczego zwykłe uzyskiwanie dostępu do plików w zwykłych procesach nieobsługowych odbywa się głównie w ramach PID 4?
zmbq,

Mam ten sam problem i nie mogę też znaleźć żadnego rozwiązania. Czy przypadkiem korzystasz z TrueCrypt? Używam szyfrowania systemowego TrueCrypt i podejrzewam, że może to być przyczyną, ponieważ działa on jako „System” jako sterownik i musi szyfrować / deszyfrować każdy dostęp do pliku.

Nie, nie ma tutaj TrueCrypt ani żadnej formy szyfrowania.
zmbq,

Powiązane pytanie tutaj: superuser.com/questions/349349/…

Odpowiedzi:


28

To jest starsze pytanie, ale miałem ten problem i dla mnie było to SuperFetch. Próbowałem wszystkiego, co mogłem znaleźć na nadmiernym zużyciu dysku twardego PID 4, a niektóre pomogły. Zwiększenie pamięci RAM z 4 GB do 8 GB tylko sprawiło, że problem stał się bardziej oczywisty - zużycie pamięci RAM było niskie, brak stronicowania, ale dysk twardy był podświetlony przez około 10 minut po uruchomieniu laptopa.

Krótko mówiąc, istnieje ustawienie rejestru, które kontroluje odpowiedni poziom SuperFetch. Poniżej widać, że wartość EnableSuperfetch jest teraz ustawiona na 1, co wydaje się być „pobieraniem wszystkich plików wykonywalnych i bibliotek”. Domyślnie jest to 3, co wydaje się oznaczać „pobieranie wszystkich plików wykonywalnych, bibliotek i dokumentów”. Mam wiele dokumentów, więc myślę, że trwało to zbyt długo. Każdy otwarty dokument to kolejny, który SuperFetch musi „przeanalizować”, aby zobaczyć, jak go używasz.

Klucz / wartość rejestru, o której mowa, to: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch

Jak dotąd jedynym minusem jest to, że otwieranie moich folderów programu Outlook zajmuje kilka dodatkowych sekund, a niektóre często używane dokumenty, takie jak pliki MS Project, trwają dłużej. Ale te opóźnienia bledną w porównaniu z dyskiem dyskowym, który miałem wcześniej!

Klucz rejestru SuperFetch


5
Ustawienia Peefetch opisane tutaj
gbjbaanb

działało świetnie dla mnie .. !!
Nirmal- thin BeYond

11

Wiele usług systemowych (nie mam na myśli usług Windows) działa pod PID 4, procesem „Systemowym”. Za każdym razem, gdy otwierasz plik, uruchamiasz mnóstwo mechanizmów działających w tle, takich jak menedżer pamięci wirtualnej buforujący plik w pamięci, przenoszący inne rzeczy w pamięci, obsługujący błędy stron itp. Aktywność ta jest oddzielna od aktywności dysku obciążonej proces, który pierwotnie uzyskał dostęp do pliku, np. WinRAR.

To powiedziawszy, to, co opisujesz, nadal nie wydaje mi się normalnym zachowaniem. Powinieneś zobaczyć szybki wzrost aktywności dysku z procesu systemowego, gdy plik jest uzyskiwany, a następnie powinien wrócić do 0 raczej szybko - w ciągu kilku sekund.

Przeprowadziłem małe testy na własnym komputerze za pomocą Monitora zasobów Windows i zauważyłem nieco podobne zachowanie. Wydaje mi się, że jesteśmy świadkami Monitora zasobów pokazującego nam jakąś średnią kroczącą, która powoli spada.

Spróbuj spojrzeć na aktywność dysku PID 4 za pomocą innego narzędzia, takiego jak Sysintenals 'Process Explorer . Odniosłem z tego zupełnie inne wrażenie, ponieważ proces Read Delta i Read Bytes Delta według procesu systemu wydaje się wracać do 0 znacznie szybciej niż w przypadku ResMon.


Edycja: Jeśli to nie to, myślę, że potrzebna będzie bardziej szczegółowa analiza, aby odpowiedzieć na pytanie. Na przykład możesz wyświetlić listę aktualnie załadowanych sterowników filtrów systemu plików za pomocą fltmc.exe, a kernrate.exe może pomóc w izolacji tych modułów, które powodują nadmiernie wysoką liczbę operacji we / wy na dysku.


@zmbq: Czy udało ci się dowiedzieć, co się dzieje?

7

Proces systemowy jest wykorzystywany przez Windows Update. Jeśli wybrano opcję automatycznego instalowania aktualizacji, prawdopodobnie system obecnie instaluje oprogramowanie systemu Windows. Jeśli uruchomisz usługę Windows Update i spróbujesz zainstalować aktualizacje, otrzymasz komunikat informujący, że nie możesz zainstalować, ponieważ system Windows właśnie aktualizuje system.

Zmień Windows Update na brak pobierania i instalowania bez ręcznego działania i poczekaj na zakończenie bieżącej instalacji.


1
To zadziałało dla mnie. Mój problem polegał na tym, że system IE (PID4) wykorzystał 100% dysku. Wyłączenie automatycznej aktualizacji IE (Pomoc-> Informacje o IE-> Zainstaluj nowe wersje automatycznie) naprawiło to.
Coomie,

@Coomie, która wersja IE ma tę „funkcję”?
MDMoore313,

@ MDMoore313 IE 10
Coomie

@Microsoft, Dlaczego IE powinien aktualizować się z trybu jądra / ring0?
Петър Петров

1

Miałem dokładnie takie same objawy. W moim przypadku były one powiązane z Norton360 i usługą MSSS SQL VSS. Po wyłączeniu VSS moja aktywność znacznie spadła. System nadal się blokuje, gdy Norton to robi, ale jest częściowo do zniesienia, ponieważ wydaje się, że zdarza się to tylko co godzinę.


1

Publikując tę ​​odpowiedź tutaj, gdy natknąłem się na ten wątek, szukając odpowiedzi na pytanie, dlaczego proces systemowy 4 pochłania tak dużo ruchu do odczytu / zapisu.

Użytkownicy, którzy mają zmapowane dyski lub wychodzą na ścieżkę UNC do udziału, szczególnie coś o dobrej strukturze katalogów, nagle otrzymają masę ruchu odbieranego z serwera hosta. Normalnie widziałbym 100-300 tys., Gdy tylko rozszerzysz okienko nawigacji, wystrzeliłby w zasięgu ponad 20 000 tys.

Skończyło się na wyłączeniu opcji automatycznego rozwijania do bieżącego folderu w Eksploratorze i ruch ten zanika.

http://www.sevenforums.com/tutorials/1014-navigation-pane-automatically-expand-current-folder.html


0

Miałem podobny problem, jednak w moim przypadku wydaje się, że w jakiś sposób Pliki Offline były włączone. Będę badał sprawy po stronie serwera (np. Myślałem, że został wyłączony globalnie za pomocą zasad grupy i udziałów .....), ale miałem dwa komputery z systemem Windows 7 w zdalnym biurze wesoło próbujące zsynchronizować kilkaset GB przez połączenie VPN.

(Edytuj przed opublikowaniem: Pliki offline nie zostały poprawnie wyłączone w udziałach, być może po migracji serwera.

Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.