Misteriosi "processi disinstallati" che utilizzano la rete ogni volta che accendo il mio computer

8

Sto viaggiando con il mio laptop Windows 10 / Ubuntu a doppio avvio e spesso ho un accesso abbastanza limitato al WiFi. Quando eseguo l'avvio sul lato Windows delle cose (o addirittura mi sveglio dalla sospensione, dopo aver dormito un po '), spesso ho un periodo di prestazioni di rete più scadenti del previsto.

Aprendo Task Manager, vedo tramite "Cronologia app" che qualcosa chiamato "Processi disinstallati" in genere trascina la rete per alcuni minuti dopo il risveglio. Per "peg" intendo che il loro uso della rete aumenta di pari passo con qualsiasi altra cosa che ho aperto che stia cercando di scaricare continuamente. Di solito diventa silenzioso dopo pochi minuti, ma è estremamente fastidioso mentre è attivo. È peggio mentre sono legato al mio telefono, da allora sto pagando dollari veri per questa attività.

Ecco una tipica immagine dell'elenco "Cronologia app" dopo il risveglio e l'utilizzo di "Elimina cronologia utilizzo" per azzerare tutti i contatori:

screenshot del task manager

Questo è un po 'di tempo dopo che i "processi disinstallati" hanno smesso di usare la rete, ma inizialmente dopo l'attivazione è stato collegato alla rete più alta usando il processo.

Questa è una nuova scatola e ho disinstallato forse una dozzina di cose su di essa, ma nessuna recentemente e ci sono stati molti riavvii dall'ultima reinstallazione.

Sono piuttosto disperato per qualsiasi consiglio su come rintracciare questo processo canaglia.

networking  windows-10  process  task-manager 
BeeOnRope
fonte
Suppongo che tu abbia cliccato Delete usage historyma la Uninstalled processesrete sta ancora aumentando? Che software antivirus hai? Stimo che un certo processo sia erroneamente inserito tra Uninstalled processes.
Vojtěch Dohnal,
Sì, faccio clic frequentemente. Sto solo usando il difensore Microsoft incorporato o come si chiama in Windows 10.
BeeOnRope
Questo sembra influenzare anche Windows 8 .
Dmitry Grigoryev,
Questi processi sono un grande mistero. Questa presentazione forense li spiega inutilmente come: "I processi disinstallati" sono tutti i programmi non più su disco (nelle loro posizioni originali) ". La mia teoria è che si tratti di Windows o dell'antivirus che tenta di comunicare alcune informazioni su questi processi a Microsoft. Prova a disabilitare tutto in Impostazioni -> Aggiornamento e sicurezza -> Windows Defender e riavvia due volte per vedere se questo scompare.
harrymc,
1
Che dire dell'utilizzo di Sysinternals ProcessExplorer invece del task manager, non esiste un magico gruppo di processi disinstallati. Quindi è possibile aggiornare la domanda con informazioni su processo e thread che utilizza realmente la rete. Inoltre hanno Sysinternals TCPView, che sarebbe ancora meglio per il tuo scopo, infine Process Monitor.
Vojtěch Dohnal,

Risposte:

5

Come accennato nella presentazione forense collegata da harrymc nei commenti, la voce Processi disinstallati è la somma delle statistiche per i processi i cui eseguibili su disco non possono più essere trovati. Il monitoraggio dell'utilizzo delle risorse di sistema di Windows, come evidenziato dalla diapositiva 17 di quella presentazione, identifica i programmi in base al nome completo di Object Manager (nel caso delle app desktop), al nome del servizio (nel caso dei servizi) o all'ID dell'applicazione Windows Store .

Task Manager tenta di visualizzare il titolo dell'applicazione per ogni voce, ma tali informazioni non sono archiviate nel database SRUM - sono solo nelle proprietà dell'eseguibile. La teoria è che se Task Manager non riesce a trovare il file EXE del programma, inserisce le statistiche nei processi disinstallati . Possiamo verificare questa teoria usando la scienza ! Scarica il tuo programma portatile preferito che utilizza molte risorse di sistema (ad esempio Procmon , che impiega un po 'di tempo della CPU se lo lasci funzionare senza filtro per un po'). Nota la sua voce nella contabilità Task Manager. Ora chiudi ed elimina / sposta il programma di test e riapri Task Manager. Le risorse utilizzate sono state aggiunte alla voce Processi disinstallati .

Si noti che Task Manager potrebbe considerare un programma "disinstallato" se il suo eseguibile è inaccessibile per qualsiasi motivo, non solo per assenza. In tal caso, il programma responsabile dell'attività risiederebbe in una directory di sistema inaccessibile anche agli amministratori (per impostazione predefinita). È possibile ottenere ulteriori informazioni su di esso con Process Explorer .

Pertanto, l'utilizzo della rete viene eseguito da un programma che non è possibile trovare al momento dell'esecuzione di Task Manager. Questo è quasi certamente causato da un'applicazione desktop che scarica o estrae un altro EXE (ad esempio un programma di controllo degli aggiornamenti), esegue tale EXE e quindi lo elimina dopo la sua uscita. Per capire cosa sta facendo, potresti provare ad analizzare direttamente il database SRUM (come descritto nella presentazione), utilizzare la funzionalità di registrazione di avvio di Procmon o provare a disabilitare alcune delle tue applicazioni di avvio automatico con Autoruns .

Ben N
fonte
@harrymc Il programma esisteva una volta, faceva alcune attività (che era registrata sotto il percorso del programma), usciva e poi veniva cancellato. L'attività è stata quindi spostata nella voce Processi disinstallati .
Ben N
@harrymc Secondo il testo nella scheda "Cronologia app" di Task Manager, mostra l'utilizzo delle risorse dalla data corrente "per gli account utente e di sistema correnti". Ho suggerito di utilizzare la registrazione di avvio non perché Task Manager mostra cosa è successo durante l'avvio, ma perché quella funzione Procmon è in grado di catturare cose che sono accadute prima che un utente accedesse (che è quando il file esiste).
Ben N
Un'altra possibilità potrebbe essere un software legacy, un software scritto male, un software con patch errate o persino malware, che non si identifica nel registro come dovrebbe fare un buon software Windows.
Xalorous,
Grazie @BenN. Anche se non sono stato in grado di determinare definitivamente l'origine di questi processi, la tua teoria ha molto senso. Ho notato che il componente "Servizio di upload / download di Windows" è tra gli utenti più attivi della rete durante questo periodo (per la colonna "Rete" dal vivo nella scheda "Processi"), ma non si riflette sull'app Cronologia "ovunque (l'unica evidente omissione). Quindi forse quel ragazzo è il colpevole.
BeeOnRope
Congratulazioni. La tua risposta è stata abbastanza buona da essere scelta come una risposta LQ ovvia e falsa per gli audit: superuser.com/review/low-quality-posts/564589 . (A proposito, ho capito bene.) ;-)
fixer1234
0

Questi processi sono uno dei grandi misteri di Windows e non sono tutti documentati. Questo apre le porte alla speculazione. Per me, fa rima senza documenti con parti di Windows 10 di cui a Microsoft non piace parlare.

Una definizione di questi processi può essere trovata in questa presentazione forense SRUM forensics che li spiega inutilmente come:

I "processi disinstallati" sono tutti i programmi non più su disco (nelle posizioni originali)

Poiché un programma che non è più su disco non è più in grado di avere attività di rete, è logico che questa attività di rete riguardi piuttosto che da questi processi disinstallati, e l'unica entità suscettibile di farlo è Windows o uno dei suoi componenti, il principale dei quali è la telemetria, noto per essere mal documentato e invasivo della privacy.

L'articolo Segreti di telemetria di Windows 10 definisce la telemetria:

Microsoft definisce la telemetria come "dati di sistema che vengono caricati dal componente Connected User Experience e Telemetry", noto anche come Universal Telemetry Client o servizio UTC. (Più su questo a breve.)

Microsoft utilizza i dati di telemetria di Windows 10 per identificare i problemi di sicurezza e affidabilità, analizzare e correggere i problemi del software, migliorare la qualità di Windows e dei servizi correlati e prendere decisioni di progettazione per le versioni future.

La mia teoria è che questo è Windows che prova a comunicare ai suoi server di telemetria segreti l'identità dei processi disinstallati. O forse Windows Defender (ora una parte indistruttibile di Windows) che cerca di comunicare informazioni su questi processi.

Prova a disabilitare tutto in Impostazioni -> Aggiornamento e sicurezza -> Windows Defender e riavvia due volte per vedere se questo scompare. Tuttavia, Windows 10 è noto per i dati di telemetria che non possono essere completamente arrestati.

Se ciò non aiuta, provare a utilizzare un prodotto come TCPView per trovare l'indirizzo IP del server con cui viene effettuata la comunicazione. Presumo qui che l'attività di rete sia verso Internet, facilmente verificabile avviando senza connettività Internet. Task Manager può mascherare l'identità di quel processo con il nome di "Processi disinstallati", ma forse Process Explorer dirà la verità.

Una volta che conosci l'indirizzo IP del server, puoi usare un servizio whois, come IP WHOIS Lookup per identificare il proprietario del sito web.

harrymc
fonte
Mystery downvoter - identificati e spiega.
harrymc,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.