Tajemnicze „odinstalowane procesy” za pomocą sieci za każdym razem, gdy włączam komputer

8

Podróżuję z moim laptopem z systemem Windows 10 / Ubuntu z podwójnym uruchomieniem i często mam dość ograniczony dostęp do Wi-Fi. Kiedy uruchamiam się po stronie systemu Windows (lub nawet budzę się ze snu po chwili snu), często doświadczam okresu gorszej niż oczekiwano wydajności sieci.

Otwierając menedżera zadań, poprzez „Historię aplikacji” widzę, że coś, co nazywa się „Procesami niezinstalowanymi”, zazwyczaj blokuje sieć na kilka minut po przebudzeniu. Przez „peg” mam na myśli to, że ich użycie sieci wzrasta w krok po kroku z czymkolwiek innym, co mam otwarte, co próbuje ciągle pobierać. Zwykle po kilku minutach robi się cicho, ale jest bardzo denerwujący, gdy jest aktywny. Gorzej jest, gdy mam połączenie z telefonem, od tego czasu płacę za tę działalność prawdziwe dolary.

Oto typowe ujęcie listy „Historia aplikacji” po przebudzeniu i użyciu „Usuń historię użytkowania” w celu wyzerowania wszystkich liczników:

zrzut ekranu menedżera zadań

Trwa to jakiś czas po tym, jak „odinstalowane procesy” przestały korzystać z sieci, ale początkowo po przebudzeniu zostało powiązane z najwyższą siecią używającą procesu.

To jest nowe pudełko i odinstalowałem na nim może tuzin rzeczy, ale ostatnio nie ma ich wcale, a od ostatniej ponownej instalacji było wiele restartów.

Jestem bardzo zdesperowany, aby uzyskać wskazówkę, jak wyśledzić ten nieuczciwy proces.

networking  windows-10  process  task-manager 
BeeOnRope
źródło
Przypuszczam, że kliknąłeś, Delete usage historyale Uninstalled processesSieć wciąż się powiększa? Jakie masz oprogramowanie antywirusowe? Szacuję, że jakiś proces jest niewłaściwie umieszczony wśród Uninstalled processes.
Vojtěch Dohnal
Tak, klikam to często. Używam tylko wbudowanego obrońcy Microsoft lub jak to się nazywa w Windows 10.
BeeOnRope
Wydaje się, że wpływa to również na Windows 8 .
Dmitrij Grigoriew
Te procesy są wielką tajemnicą. Ta prezentacja kryminalistyczna nieprzydatnie wyjaśnia je jako: „Odinstalowane procesy” to wszystkie programy, których już nie ma na dysku (w ich oryginalnych lokalizacjach) ”. Moja teoria jest taka, że ​​jest to Windows lub program antywirusowy próbujący przekazać pewne informacje o tych procesach firmie Microsoft. Spróbuj wyłączyć wszystko w Ustawieniach -> Aktualizacja i zabezpieczenia -> Windows Defender i uruchom ponownie dwa razy, aby zobaczyć, czy to zniknie.
harrymc
1
A co z używaniem Sysinternals ProcessExplorer zamiast menedżera zadań, nie ma magicznej grupy procesów niezinstalowanych. Następnie możesz zaktualizować pytanie o informacje o procesie i wątku, który naprawdę korzysta z sieci. Mają też Sysinternals TCPView, który byłby jeszcze lepszy dla twojego celu, ostatecznie niż Monitor procesu.
Vojtěch Dohnal

Odpowiedzi:

5

Jak wspomniano w prezentacji kryminalistycznej połączonej przez harrymc w komentarzach, pozycja Odinstalowane procesy jest sumą statystyk dla procesów, których plików wykonywalnych na dysku nie można już znaleźć. Monitor użycia zasobów systemu Windows, o czym świadczy slajd 17 tej prezentacji, identyfikuje programy według ich pełnych nazw Object Manager (w przypadku aplikacji komputerowych), nazwy usługi (w przypadku usług) lub identyfikatora aplikacji ze Sklepu Windows .

Menedżer zadań próbuje wyświetlić tytuł aplikacji dla każdego wpisu, ale te informacje nie są przechowywane w bazie danych SRUM - są to tylko właściwości pliku wykonywalnego. Teoria polega na tym, że jeśli Menedżer zadań nie może znaleźć pliku EXE programu, gromadzi statystyki w Odinstalowanych procesach . Możemy zweryfikować tę teorię za pomocą nauki ! Pobierz swój ulubiony przenośny program, który wykorzystuje wiele jednego zasobu systemowego (np. Procmon , co zabiera trochę czasu procesora, jeśli pozwolisz mu działać przez chwilę bez filtrowania ). Zanotuj jego wpis w rachunkowości Menedżera zadań. Teraz zamknij i usuń / przenieś program testowy, a następnie ponownie otwórz Menedżera zadań. Użyte zasoby zostały dodane do pozycji Odinstalowane procesy .

Pamiętaj, że Menedżer zadań może uznać program za „odinstalowany”, jeśli jego plik wykonywalny jest niedostępny z dowolnego powodu, nie tylko z powodu braku. W takim przypadku program odpowiedzialny za działanie znajdowałby się w katalogu systemowym niedostępnym nawet dla administratorów (domyślnie). Możesz uzyskać więcej informacji na ten temat dzięki Process Explorer .

Dlatego użycie sieci jest wykonywane przez program, którego nie można znaleźć podczas uruchamiania Menedżera zadań. Jest to prawie na pewno spowodowane aplikacją komputerową, która zrzuca lub wypakowuje inny plik EXE (np. Program sprawdzający aktualizacje), uruchamia ten plik EXE, a następnie usuwa go po zakończeniu. Aby dowiedzieć się, co to robi, możesz spróbować bezpośrednio przeanalizować bazę danych SRUM (zgodnie z opisem w prezentacji), skorzystać z funkcji rejestrowania rozruchu Procmon lub spróbować wyłączyć niektóre z aplikacji autouruchamiania za pomocą Autoruns .

Ben N.
źródło
@harrymc Program istniał w tym samym czasie, wykonał pewną aktywność (która została zarejestrowana pod ścieżką programu), zakończył pracę, a następnie został usunięty. Działanie zostało następnie przeniesione do pozycji Odinstalowane procesy .
Ben N
@harrymc Zgodnie z tekstem na karcie „Historia aplikacji” w Menedżerze zadań pokazuje użycie zasobów od bieżącej daty „dla bieżących kont użytkowników i systemów”. Zasugerowałem użycie rejestrowania rozruchu nie dlatego, że Menedżer zadań pokazuje, co się stało podczas uruchamiania, ale dlatego, że ta funkcja Procmon może rejestrować rzeczy, które zdarzyły się, zanim użytkownik nawet się zaloguje (czyli wtedy, gdy plik istnieje).
Ben N
Inną możliwością może być starsze oprogramowanie, źle napisane oprogramowanie, niepoprawnie załatane oprogramowanie, a nawet złośliwe oprogramowanie, które nie identyfikuje się w rejestrze tak, jak powinno to robić dobre oprogramowanie Windows.
Xalorous,
Dzięki @BenN. Chociaż nie byłem w stanie jednoznacznie ustalić źródła tych procesów, twoja teoria ma wiele sensu. Zauważyłem, że składnik „Usługa przesyłania / pobierania systemu Windows” jest w tym czasie jednym z najbardziej aktywnych użytkowników sieci (według kolumny „Sieć” na żywo w zakładce „Procesy”), ale nie znajduje odzwierciedlenia w „Aplikacji” Historia ”w dowolnym miejscu (jedyne oczywiste pominięcie). Więc może ten facet jest winowajcą.
BeeOnRope,
Gratulacje. Twoja odpowiedź była na tyle dobra, że ​​można ją wybrać jako oczywistą, fałszywą odpowiedź LQ na audyty: superuser.com/review/low-quality-posts/564589 . (BTW, mam rację.) ;-)
fixer1234,
0

Procesy te są jedną z wielkich tajemnic systemu Windows i nie są wszystkie udokumentowane. To otwiera drzwi do spekulacji. Dla mnie nieudokumentowane rymy z częściami systemu Windows 10, o których Microsoft nie lubi rozmawiać.

Jedną definicję tych procesów można znaleźć w tej prezentacji kryminalistycznej SRUM forensics, która bezskutecznie wyjaśnia je jako:

„Odinstalowane procesy” to wszystkie programy, których już nie ma na dysku (w ich oryginalnych lokalizacjach)

Ponieważ program, który nie jest już na dysku jest również nie może mieć aktywność sieciową, to ma się rozumieć, że działalność ta sieć jest o raczej niż przez tych odinstalowanych procesów, a jedynym podmiotem podatne na osiągnięcie tego jest Windows lub jeden z jego komponenty, z których najważniejszym jest telemetria, znana z tego, że jest źle udokumentowana i narusza prywatność.

Artykuł Tajne dane telemetryczne systemu Windows 10 definiują dane telemetryczne:

Firma Microsoft definiuje telemetrię jako „dane systemowe przesyłane przez moduł Connected User Experience and Telemetry”, znany również jako Universal Telemetry Client lub usługa UTC. (Więcej o tym wkrótce.)

Microsoft wykorzystuje dane telemetryczne z systemu Windows 10 do identyfikowania problemów związanych z bezpieczeństwem i niezawodnością, analizowania i rozwiązywania problemów z oprogramowaniem, do poprawy jakości systemu Windows i powiązanych usług oraz do podejmowania decyzji projektowych dla przyszłych wydań.

Moja teoria jest taka, że ​​to Windows próbuje przekazać swoim tajnym serwerom telemetrycznym tożsamość odinstalowanych procesów. A może Windows Defender (obecnie niezniszczalna część systemu Windows) próbuje przekazać informacje o tych procesach.

Spróbuj wyłączyć wszystko w Ustawieniach -> Aktualizacja i zabezpieczenia -> Windows Defender i uruchom ponownie dwa razy, aby zobaczyć, czy to zniknie. Jednak system Windows 10 znany jest z telemetrii, której nie można całkowicie zatrzymać.

Jeśli to nie pomoże, spróbuj użyć produktu takiego jak TCPView, aby znaleźć adres IP serwera, z którym odbywa się komunikacja. Zakładam tutaj, że aktywność sieci jest skierowana do Internetu, co można łatwo przetestować, uruchamiając komputer bez połączenia z Internetem. Menedżer zadań może maskować tożsamość tego procesu pod nazwą „Odinstalowane procesy”, ale być może Process Explorer powie prawdę.

Gdy znasz adres IP serwera, możesz skorzystać z usługi whois, takiej jak IP WHOIS Lookup, aby zidentyfikować właściciela witryny.

harrymc
źródło
Mystery downvoter - zidentyfikuj się i wyjaśnij.
harrymc
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.