8

Я путешествую с ноутбуком с двойной загрузкой Windows 10/Ubuntu и часто имею довольно ограниченный доступ к WiFi. Когда я загружаюсь в сторону Windows (или даже просыпаюсь, поспав некоторое время), я часто испытываю период хуже, чем ожидалось, от производительности сети.

Открывая диспетчер задач, я вижу через "Журнал приложений", что то, что называется "Неустановленные процессы", обычно привязывает сеть на несколько минут после пробуждения. Под "колышком" я подразумеваю, что их использование в сети увеличивается в течение всего остального, что я открываю и пытаюсь загружать постоянно. Обычно он затихает через несколько минут, но он очень раздражает, когда активен. Еще хуже, когда я привязан к своему телефону, с тех пор я плачу реальные доллары за эту деятельность.

Вот типичный снимок списка "История приложений" после пробуждения и использования "Удалить историю использования", чтобы обнулить все счетчики:

скриншот диспетчера задач

Это происходит через некоторое время после того, как "неустановленные процессы" перестали использовать сеть, но изначально после пробуждения он был привязан к процессу с самым высоким использованием сети.

Это новая коробка, и я удалил, возможно, дюжину вещей на ней, но ни одной из них в последнее время не было и перезагрузок было много с момента последней переустановки.

Я довольно отчаянно нуждаюсь в подсказках о том, как отследить этот мошеннический процесс.

|источник

2 ответа2

5

Как упоминалось в представлении судебной экспертизы, связанном в комментариях harrymc, запись «Неустановленные процессы» представляет собой сумму статистики для процессов, чьи исполняемые файлы на диске больше не могут быть найдены. Монитор использования системных ресурсов Windows, о чем свидетельствует слайд 17 этой презентации, идентифицирует программы по их полным именам диспетчера объектов (в случае настольных приложений), имени службы (в случае служб) или идентификатору приложения Магазина Windows. ,

Диспетчер задач пытается отобразить заголовок приложения для каждой записи, но эта информация не сохраняется в базе данных SRUM - она находится только в свойствах исполняемого файла. Теория заключается в том, что если диспетчер задач не может найти EXE-файл программы, он объединяет статистику в неустановленные процессы. Мы можем проверить эту теорию, используя науку ! Загрузите вашу любимую портативную программу, которая использует много одного системного ресурса (например, Procmon, который занимает некоторое время процессора, если вы позволяете ему работать нефильтрованным некоторое время). Запишите его запись в диспетчере задач. Теперь закройте и удалите / переместите тестовую программу и снова откройте диспетчер задач. Используемые ресурсы были добавлены в запись « Неустановленные процессы».

Обратите внимание, что диспетчер задач может считать программу "удаленной", если ее исполняемый файл недоступен по какой-либо причине, а не просто отсутствует. В этом случае программа, ответственная за действие, будет находиться в системном каталоге, недоступном даже для администраторов (по умолчанию). Вы можете получить больше информации об этом с Process Explorer.

Поэтому использование сети выполняется программой, которую невозможно найти во время запуска диспетчера задач. Это почти наверняка вызвано приложением для настольного компьютера, которое выгружает или извлекает другой EXE-файл (например, программу проверки обновлений), запускает этот EXE-файл и затем удаляет его после его выхода. Чтобы выяснить, что делает это, вы можете попытаться выполнить синтаксический анализ базы данных SRUM напрямую (как описано в презентации), использовать функцию ведения журнала загрузки Procmon или попытаться отключить некоторые из приложений автозапуска с помощью автозапуска.

|источник
0

Эти процессы являются одной из великих загадок Windows и не все документированы. Это открывает дверь для спекуляций. Для меня недокументированные рифмы с частями Windows 10, о которых Microsoft не любит говорить.

Одно из определений этих процессов можно найти в этой криминалистической презентации SRUM, которая бесполезно объясняет их как:

«Деинсталлированные процессы» - это все программы, которых больше нет на диске (в их исходном расположении)

Поскольку программа , которая больше не на диске также больше не способна иметь сетевую активность, само собой разумеется , что эта сетевая активность около , а не этих неустановленных процессов, и единственный объект восприимчивого делать это для Windows или один из его компоненты, главным из которых является телеметрия, известная тем, что она плохо документирована и нарушает конфиденциальность.

В статье Windows 10 секреты телеметрии дается определение телеметрии:

Microsoft определяет телеметрию как «системные данные, которые загружаются компонентом Connected User Experience и Telemetry», также известным как универсальный клиент телеметрии или служба UTC. (Подробнее об этом в ближайшее время.)

Microsoft использует данные телеметрии из Windows 10 для выявления проблем безопасности и надежности, для анализа и устранения проблем с программным обеспечением, для улучшения качества Windows и связанных служб, а также для принятия проектных решений для будущих выпусков.

Моя теория состоит в том, что это Windows пытается сообщить своим секретным серверам телеметрии идентификацию удаленных процессов. Или, может быть, Защитник Windows (теперь нерушимая часть Windows) пытается передать информацию об этих процессах.

Попробуйте отключить все в разделе « Настройки» -> «Обновление и безопасность» -> «Защитник Windows» и дважды перезагрузитесь, чтобы увидеть, исчезнет ли это. Однако Windows 10 известна телеметрией, которую нельзя полностью остановить.

Если это не помогает, попробуйте использовать продукт, такой как TCPView, чтобы найти IP-адрес сервера, с которым осуществляется связь. Здесь я предполагаю, что сетевая активность направлена на Интернет, что легко проверяется загрузкой без подключения к Интернету. Диспетчер задач может маскировать личность этого процесса под именем "Неустановленные процессы", но, возможно, Process Explorer скажет правду.

Зная IP-адрес сервера, вы можете использовать службу whois, например IP WHOIS Lookup, для идентификации владельца веб-сайта.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .