“Proses yang tidak terpasang” secara misterius menggunakan jaringan setiap kali saya menyalakan komputer saya

8

Saya bepergian dengan laptop Windows 10 / Ubuntu dual-boot dan sering memiliki akses WiFi yang cukup terbatas. Ketika saya boot ke sisi Windows hal-hal (atau bahkan bangun dari tidur, setelah tidur sebentar), saya sering mengalami periode kinerja jaringan yang lebih buruk dari yang diharapkan.

Membuka task manager, saya melihat melalui "Riwayat Aplikasi" bahwa sesuatu yang disebut "Proses yang tidak diinstal" biasanya mematok jaringan selama beberapa menit setelah bangun. Maksudnya "pasak" maksud saya bahwa penggunaan jaringan mereka meningkat sejalan dengan hal lain yang saya buka yang mencoba mengunduh secara terus menerus. Biasanya diam setelah beberapa menit, tetapi sangat menjengkelkan saat aktif. Ini lebih buruk ketika ditambatkan ke ponsel saya, sejak itu saya membayar dolar nyata untuk kegiatan ini.

Berikut cuplikan khas dari daftar "Riwayat Aplikasi" setelah bangun dan menggunakan "Hapus riwayat penggunaan" untuk membuat semua penghitung menjadi nol:

tangkapan layar task manager

Ini beberapa waktu setelah "proses dihapus" berhenti menggunakan jaringan, tetapi awalnya setelah bangun itu terikat untuk proses menggunakan jaringan tertinggi.

Ini adalah kotak baru, dan saya telah mencopot mungkin selusin hal di dalamnya, tetapi tidak ada yang baru-baru ini dan ada banyak reboot sejak instalasi ulang terakhir.

Saya cukup putus asa untuk tip tentang cara melacak proses nakal ini.

BeeOnRope
sumber
Saya kira Anda telah mengklik Delete usage historytetapi Uninstalled processesJaringan masih meningkat? Perangkat lunak antivirus apa yang Anda miliki? Saya memperkirakan bahwa beberapa proses salah dimasukkan Uninstalled processes.
Vojtěch Dohnal
Ya, saya sering mengklik itu. Saya hanya menggunakan bek Microsoft
bawaan
Ini tampaknya mempengaruhi windows 8 juga.
Dmitry Grigoryev
Proses-proses ini adalah misteri besar. Presentasi forensik ini tidak membantu menjelaskannya sebagai: "Proses yang tidak diinstal adalah semua program tidak lagi pada disk (di lokasi aslinya)". Teori saya adalah bahwa ini adalah Windows atau anti-virus yang mencoba mengomunikasikan beberapa informasi tentang proses ini ke Microsoft. Cobalah untuk menonaktifkan semuanya di bawah Pengaturan -> Pembaruan & Keamanan -> Windows Defender, dan reboot dua kali untuk melihat apakah ini menghilang.
harrymc
1
Bagaimana dengan menggunakan Sysinternals ProcessExplorer alih-alih task manager, tidak ada grup proses yang tidak diinstal ajaib. Kemudian Anda dapat memperbarui pertanyaan dengan info tentang proses dan utas yang benar-benar menggunakan jaringan. Mereka juga memiliki Sysinternals TCPView, yang akan menjadi lebih baik untuk tujuan Anda, akhirnya kemudian Proses Monitor.
Vojtěch Dohnal

Jawaban:

5

Seperti yang disinggung dalam presentasi forensik yang ditautkan oleh harrymc dalam komentar, entri Proses yang tidak diinstal adalah jumlah statistik untuk proses yang file executable pada disk tidak lagi dapat ditemukan. Monitor Penggunaan Sumber Daya Sistem Windows, sebagaimana dibuktikan oleh slide 17 dari presentasi itu, mengidentifikasi program dengan nama penuh Manajer Objek mereka (dalam hal aplikasi desktop), nama layanan (dalam hal layanan), atau ID aplikasi Windows Store .

Manajer Tugas mencoba untuk menampilkan judul aplikasi untuk setiap entri, tetapi informasi itu tidak disimpan dalam database SRUM - itu hanya di properti yang dapat dieksekusi. Teorinya adalah bahwa jika Task Manager tidak dapat menemukan EXE program, itu menggumpalkan statistik ke dalam proses Uninstalled . Kita dapat memverifikasi teori itu menggunakan sains ! Unduh program portabel favorit Anda yang menggunakan banyak sumber daya sistem (mis. Procmon , yang membutuhkan waktu CPU jika Anda membiarkannya berjalan tanpa filter sedikit). Catat entri dalam akuntansi Task Manager. Sekarang tutup dan hapus / pindahkan program pengujian, dan buka kembali Task Manager. Sumber daya yang digunakan telah ditambahkan ke entri proses Uninstalled .

Perhatikan bahwa Pengelola Tugas mungkin menganggap program "dihapus" jika programnya tidak dapat diakses karena alasan apa pun, bukan hanya ketidakhadiran. Dalam hal ini, program yang bertanggung jawab atas aktivitas akan berada di direktori sistem yang tidak dapat diakses bahkan oleh administrator (secara default). Anda bisa mendapatkan informasi lebih lanjut tentang hal itu dengan Process Explorer .

Oleh karena itu, penggunaan jaringan dilakukan oleh program yang tidak dapat ditemukan pada saat Anda menjalankan Pengelola Tugas. Hal ini hampir pasti disebabkan oleh aplikasi desktop yang membuang atau mengekstrak EXE lain (misalnya program pemeriksa pembaruan), menjalankan EXE itu, dan kemudian menghapusnya setelah keluar. Untuk mengetahui apa yang melakukannya, Anda bisa mencoba mengurai database SRUM secara langsung (seperti yang dijelaskan dalam presentasi), menggunakan kemampuan boot logging Procmon , atau mencoba menonaktifkan beberapa aplikasi mulai otomatis dengan Autoruns .

Ben N
sumber
@harrymc Program ada pada satu waktu, melakukan beberapa aktivitas (yang dicatat di bawah jalur program), keluar, dan kemudian dihapus. Kegiatan itu kemudian dipindahkan ke entri proses yang tidak diinstal.
Ben N
@harrymc Menurut teks pada tab "Riwayat aplikasi" pada Task Manager, ini menunjukkan penggunaan sumber daya sejak tanggal saat ini "untuk akun pengguna dan sistem saat ini." Saya menyarankan menggunakan boot logging bukan karena Task Manager menunjukkan apa yang terjadi selama boot, tetapi karena fitur Procmon dapat menangkap hal-hal yang terjadi sebelum pengguna bahkan masuk (yaitu saat file ada).
Ben N
Kemungkinan lain adalah perangkat lunak warisan, perangkat lunak yang ditulis dengan buruk, perangkat lunak yang tidak ditambal dengan benar, atau bahkan malware, yang tidak mengidentifikasi dirinya dalam registri sebagaimana yang seharusnya dilakukan oleh perangkat lunak Windows.
Xalorous
Terima kasih @BenN. Meskipun saya belum dapat menentukan secara pasti asal dari proses-proses ini, teori Anda sangat masuk akal. Saya memang memperhatikan bahwa komponen "Layanan Upload / Unduh Windows" adalah di antara pengguna jaringan yang paling aktif selama waktu ini (per kolom "Jaringan" langsung di tab "Proses"), tetapi tidak tercermin dalam "Aplikasi". Tab "Sejarah di mana saja (satu-satunya penghilangan yang jelas). Jadi mungkin orang itu adalah pelakunya.
BeeOnRope
Selamat. Jawaban Anda cukup baik untuk dipilih sebagai jawaban LQ yang jelas dan palsu untuk audit: superuser.com/review/low-quality-posts/564589 . (BTW, saya benar.) ;-)
fixer1234
0

Proses-proses ini adalah salah satu misteri besar Windows dan tidak didokumentasikan semuanya. Ini membuka pintu untuk spekulasi. Bagi saya, sajak tidak berdokumen dengan bagian Windows 10 yang tidak disukai oleh Microsoft.

Salah satu definisi dari proses ini dapat ditemukan dalam presentasi forensik ini SRUM forensik yang menjelaskan mereka sebagai:

'Proses Tidak Terinstal' adalah semua program tidak lagi pada disk (di lokasi aslinya)

Sejak program yang tidak lagi pada disk juga tidak lagi mampu memiliki aktivitas jaringan, ia berdiri untuk alasan bahwa aktivitas jaringan ini sekitar daripada oleh proses-proses dihapus, dan satu-satunya entitas rentan melakukan hal itu adalah Windows atau salah satu nya komponen, kepala yang adalah telemetri, dikenal karena didokumentasikan dengan buruk dan invasif privasi.

Artikel Windows 10 rahasia telemetri mendefinisikan telemetri:

Microsoft mendefinisikan telemetri sebagai "data sistem yang diunggah oleh Connected User Experience dan komponen Telemetri," juga dikenal sebagai Universal Telemetry Client, atau layanan UTC. (Lebih lanjut tentang itu sebentar lagi.)

Microsoft menggunakan data telemetri dari Windows 10 untuk mengidentifikasi masalah keamanan dan keandalan, untuk menganalisis dan memperbaiki masalah perangkat lunak, untuk membantu meningkatkan kualitas Windows dan layanan terkait, dan untuk membuat keputusan desain untuk rilis mendatang.

Teori saya adalah bahwa ini adalah Windows yang mencoba berkomunikasi dengan server telemetri rahasia identitas proses yang dihapus. Atau mungkin Windows Defender (sekarang bagian yang tidak dapat dipecahkan dari Windows) mencoba mengkomunikasikan informasi tentang proses ini.

Cobalah untuk menonaktifkan semuanya di bawah Pengaturan -> Pembaruan & Keamanan -> Windows Defender , dan reboot dua kali untuk melihat apakah ini menghilang. Namun, Windows 10 dikenal untuk telemetri yang tidak dapat sepenuhnya dihentikan.

Jika ini tidak membantu, coba gunakan produk seperti TCPView untuk menemukan alamat IP server yang digunakan untuk komunikasi ini. Saya berasumsi di sini bahwa aktivitas jaringan mengarah ke Internet, dapat diuji dengan mudah dengan mem-boot tanpa konektivitas Internet. Task Manager dapat menutupi identitas proses tersebut dengan nama "Proses yang Tidak Diinstal", tetapi mungkin Process Explorer akan mengatakan yang sebenarnya.

Setelah Anda mengetahui alamat IP server, Anda dapat menggunakan layanan whois, seperti Pencarian IP WHOIS untuk mengidentifikasi pemilik situs web.

harrymc
sumber
Misteri downvoter - identifikasi diri Anda dan jelaskan.
harrymc