Misteriosos “processos desinstalados” usando a rede toda vez que ligo meu computador

8

Estou viajando com meu laptop com inicialização dupla do Windows 10 / Ubuntu e geralmente tenho acesso limitado a WiFi. Quando eu inicio no lado do Windows das coisas (ou até mesmo acordar do sono, depois de dormir um pouco), muitas vezes eu experimento um período de desempenho de rede pior que o esperado.

Abrindo o gerenciador de tarefas, vejo, por meio do "Histórico de aplicativos", que algo chamado "Processos desinstalados" geralmente fixa a rede por alguns minutos depois de acordar. Por "peg" quero dizer que o seu uso de rede aumenta em sincronia com qualquer outra coisa que eu tenha aberto e que esteja tentando baixar continuamente. Normalmente ele fica quieto depois de alguns minutos, mas é extremamente irritante enquanto está ativo. É pior quando ligado ao meu telefone, desde então estou pagando reais por essa atividade.

Veja uma foto típica da lista "Histórico de aplicativos" depois de ativar e usar "Excluir histórico de uso" para zerar todos os contadores:

Issolevaalgumtempodepoisqueos"processos desinstalados" pararam de usar a rede, mas, inicialmente, após a ativação, ela foi vinculada à rede mais alta usando o processo.

Esta é uma nova caixa, e eu desinstalei uma dúzia de coisas nela, mas nenhuma recentemente e houve muitas reinicializações desde a última reinstalação.

Estou muito desesperado por qualquer dica sobre como rastrear esse processo desonesto.

    
por BeeOnRope 24.07.2016 / 03:57

2 respostas

5

Como mencionado na apresentação forense vinculada por harrymc nos comentários, o Entrada de processos desinstalados é a soma das estatísticas dos processos cujos executáveis em disco não podem mais ser encontrados. O Monitor de Uso de Recursos do Sistema do Windows, conforme evidenciado no slide 17 dessa apresentação, identifica os programas pelos nomes do Gerenciador de Objetos completos (em no caso de aplicativos de desktop), o nome do serviço (no caso de serviços) ou o ID do aplicativo da Windows Store.

O Gerenciador de Tarefas tenta exibir o título do aplicativo para cada entrada, mas essa informação não é armazenada no banco de dados SRUM - é apenas nas propriedades do executável. A teoria é que, se o Gerenciador de Tarefas não conseguir encontrar o EXE do programa, ele agregará as estatísticas em Processos desinstalados . Podemos verificar essa teoria usando ciência ! Faça o download do seu programa portátil favorito que usa muitos recursos do sistema (por exemplo, Procmon , que leva alguns Tempo de CPU se você permitir que ele fique sem filtro por um tempo). Observe a sua entrada na contabilidade do Gerenciador de Tarefas. Agora feche e exclua / mova o programa de teste e reabra o Gerenciador de Tarefas. Os recursos usados foram adicionados à entrada Processos desinstalados .

Observe que o Gerenciador de Tarefas pode considerar um programa "desinstalado" se o executável estiver inacessível por qualquer motivo, não apenas ausência. Nesse caso, o programa responsável pela atividade residiria em um diretório do sistema inacessível até mesmo para os administradores (por padrão). Você pode obter mais informações sobre isso com Process Explorer .

Portanto, o uso da rede está sendo feito por um programa que não pode ser encontrado no momento em que você executa o Gerenciador de Tarefas. Isso é quase certamente causado por um aplicativo de área de trabalho que copia ou extrai outro EXE (por exemplo, um programa verificador de atualizações), executa esse EXE e, em seguida, exclui-o após sua saída. Para descobrir o que está fazendo isso, você pode tentar analisar o banco de dados SRUM diretamente (conforme descrito na apresentação), usar o capacidade de registro de inicialização ou tente desativar alguns de seus aplicativos de inicialização automática com Autoruns .

    
por 05.08.2016 / 18:06
0

Estes processos são um dos grandes mistérios do Windows e não estão documentados. Isso abre a porta para a especulação. Para mim, rimas não documentadas com partes do Windows 10 que a Microsoft não gosta de falar.

Uma definição destes processos pode ser encontrada nesta apresentação forense Análise forense da SRUM que os explica de maneira insuportável como:

'Uninstalled Processes’ are all programs no longer on disk (in their original locations)

Como um programa que não está mais no disco também não é mais capaz de tendo atividade de rede, é lógico que essa atividade de rede é sobre em vez de por esses processos desinstalados, e a única entidade suscetível de fazer isso é o Windows ou um dos seus componentes, o principal dos quais é a telemetria, conhecido por ser mal documentado e invasivo de privacidade.

O artigo Segredos de telemetria do Windows 10 define a telemetria:

Microsoft defines telemetry as "system data that is uploaded by the Connected User Experience and Telemetry component," also known as the Universal Telemetry Client, or UTC service. (More on that shortly.)

Microsoft uses telemetry data from Windows 10 to identify security and reliability issues, to analyze and fix software problems, to help improve the quality of Windows and related services, and to make design decisions for future releases.

Minha teoria é que este é o Windows tentando se comunicar com seu segredo servidores de telemetria a identidade dos processos desinstalados. Ou talvez o Windows Defender (agora uma parte inquebrável do Windows) tentando comunicar informações sobre esses processos.

Tente desativar tudo em Configurações - > Atualizar & Segurança - > Windows Defender , e reinicie duas vezes para ver se isso desaparece. No entanto, o Windows 10 é conhecido por telemetria que não pode ser totalmente interrompida.

Se isso não ajudar, tente usar um produto como TCPView para encontrar o endereço IP do servidor com o qual esta comunicação é feita. Eu assumo aqui que a atividade de rede é para a Internet, facilmente testável ao inicializar sem conectividade com a Internet. O Gerenciador de Tarefas pode mascarar a identidade desse processo sob o nome de "Processos desinstalados", mas talvez o Process Explorer contenha a verdade.

Quando você souber o endereço IP do servidor, poderá usar um serviço whois, como IP WHOIS Lookup para identificar o proprietário do site.

    
por 05.08.2016 / 21:10