Como mencionado na apresentação forense vinculada por harrymc nos comentários, o Entrada de processos desinstalados é a soma das estatísticas dos processos cujos executáveis em disco não podem mais ser encontrados. O Monitor de Uso de Recursos do Sistema do Windows, conforme evidenciado no slide 17 dessa apresentação, identifica os programas pelos nomes do Gerenciador de Objetos completos (em no caso de aplicativos de desktop), o nome do serviço (no caso de serviços) ou o ID do aplicativo da Windows Store.
O Gerenciador de Tarefas tenta exibir o título do aplicativo para cada entrada, mas essa informação não é armazenada no banco de dados SRUM - é apenas nas propriedades do executável. A teoria é que, se o Gerenciador de Tarefas não conseguir encontrar o EXE do programa, ele agregará as estatísticas em Processos desinstalados . Podemos verificar essa teoria usando ciência ! Faça o download do seu programa portátil favorito que usa muitos recursos do sistema (por exemplo, Procmon , que leva alguns Tempo de CPU se você permitir que ele fique sem filtro por um tempo). Observe a sua entrada na contabilidade do Gerenciador de Tarefas. Agora feche e exclua / mova o programa de teste e reabra o Gerenciador de Tarefas. Os recursos usados foram adicionados à entrada Processos desinstalados .
Observe que o Gerenciador de Tarefas pode considerar um programa "desinstalado" se o executável estiver inacessível por qualquer motivo, não apenas ausência. Nesse caso, o programa responsável pela atividade residiria em um diretório do sistema inacessível até mesmo para os administradores (por padrão). Você pode obter mais informações sobre isso com Process Explorer .
Portanto, o uso da rede está sendo feito por um programa que não pode ser encontrado no momento em que você executa o Gerenciador de Tarefas. Isso é quase certamente causado por um aplicativo de área de trabalho que copia ou extrai outro EXE (por exemplo, um programa verificador de atualizações), executa esse EXE e, em seguida, exclui-o após sua saída. Para descobrir o que está fazendo isso, você pode tentar analisar o banco de dados SRUM diretamente (conforme descrito na apresentação), usar o capacidade de registro de inicialização ou tente desativar alguns de seus aplicativos de inicialização automática com Autoruns .