Processus système (PID 4) accédant constamment au disque dur

50

Récemment, j'ai remarqué que certaines de nos machines ralentissaient, principalement après le démarrage. Utilisation Resource Monitorde PID 4 après avoir détecté un accès excessif au disque à partir du processus système. Après quelques conseils, j'ai désactivé l'antivirus dans le dossier Informations sur le volume système, en espérant que cela vous aiderait (je ne veux pas désactiver la restauration du système).

Cependant, il semble que le PID 4 accède à tout . Lors de l'exécution d'une simple extraction d'un fichier ZIP, je peux voir que WinRAR lit quelques centaines de Ko par seconde à partir du fichier, mais PID 4 lit des dizaines de Mo par seconde à partir du même fichier. Après l’annulation de l’opération, PID 4 continue d’accéder au fichier pendant environ 30 secondes, en lisant plusieurs Mo par seconde. Ce n'est pas un bogue du moniteur de ressources, car le disque est clairement actif et s'arrête dès que les moniteurs de ressources indiquent que le PID 4 est au repos.

Pourquoi ce processus miraculeux accède-t-il à tous les processus auxquels accède un autre processus?

J'utilise l'antivirus AVG. La désactiver n'a pas changé ce comportement /

Qu'est-ce qui se passe ici?

zmbq
la source
1
Le PID 4 est l'ID de processus pour le processus système Windows. Cela ressemble beaucoup au PID 1 sur les systèmes Unix. Un grand nombre de services fonctionnent sous le PID 4.
sysadmin1138
Les services ne fonctionnent-ils pas selon leurs propres processus? Quoi qu'il en soit, même dans ce cas, pourquoi les accès aux fichiers ordinaires dans les processus non liés au service sont-ils principalement effectués sous PID 4?
Zmbq
J'ai le même problème et je ne trouve pas de solution aussi. Par hasard, utilisez-vous TrueCrypt? J'utilise le chiffrement TrueCrypt à l'échelle du système et je soupçonne que cela pourrait en être la cause, car il fonctionne sous "Système" en tant que pilote et il doit chiffrer / déchiffrer chaque accès aux fichiers.
Non, pas de cryptage TrueCrypt ni d’aucune autre forme de cryptage ici.
Zmbq
Question connexe ici: superuser.com/questions/349349/…

Réponses:

28

C'est une question plus ancienne, mais j'avais ce problème et pour moi, c'était SuperFetch. J'ai essayé tout ce que je pouvais trouver sur l'utilisation excessive du disque dur PID 4, et certains d'entre eux ont aidé. Une mise à niveau de la mémoire RAM de 4 Go à 8 Go n'a fait que rendre le problème plus évident: l'utilisation de la mémoire RAM était faible, pas de pagination, mais le disque dur était allumé pendant environ 10 minutes après le démarrage de mon ordinateur portable.

En résumé, il existe un paramètre de registre qui contrôle le niveau approprié de SuperFetch. Vous pouvez voir ci-dessous que la valeur EnableSuperfetch est maintenant définie sur 1, ce qui semble être "extraire tous les exécutables et les bibliothèques". La valeur par défaut est 3, ce qui semble signifier "pré-extraire tous les exécutables, bibliothèques et documents". J'ai beaucoup de documents, alors je pense que cela prenait trop de temps. Chaque document ouvert en est un autre que SuperFetch doit "analyser" pour voir comment vous l'utilisez.

La clé / valeur de registre en question est: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch

Jusqu'ici, le seul inconvénient est que l'ouverture de mes dossiers Outlook prend quelques secondes supplémentaires et que certains documents couramment utilisés, tels que les fichiers MS Project, prennent plus de temps. Mais ces retards ne sont rien en comparaison du thrash sur disque que j'avais auparavant!

Clé de registre SuperFetch

drharris
la source
5
Paramètres Peefetch décrits ici
gbjbaanb
a fonctionné très bien pour moi .. !!
Nirmal
11

De nombreux services système (je ne parle pas des services Windows) fonctionnent sous PID 4, le processus "Système". Chaque fois que vous ouvrez un fichier, vous déclenchez une série de mécanismes d'arrière-plan, tels que le gestionnaire de mémoire virtuelle qui met le fichier en mémoire cache, déplace d'autres éléments en mémoire, traite les erreurs de page, etc. Cette activité est distincte de l'activité du disque imputée au processus ayant initialement accédé au fichier, par exemple WinRAR.

Cela dit, ce que vous décrivez ne me semble toujours pas être un comportement normal. Lorsque vous accédez au fichier, le processus système doit afficher une brusque activité du disque, puis revenir à 0 assez rapidement, en quelques secondes.

J'ai fait quelques tests sur ma propre machine à l'aide du Moniteur de ressources Windows et j'ai constaté un comportement similaire. À mon avis, Resource Monitor nous montre une sorte de moyenne glissante qui tarde à tomber.

Essayez de regarder l'activité du disque PID 4 en utilisant un autre outil tel que Process Explorer de Sysintenals . J'ai eu une impression très différente, car les processus Read Delta et Read Bytes Delta du système semblent revenir à 0 beaucoup plus rapidement que lorsqu'ils étaient visualisés via ResMon.


Edit: Si ce n'est pas ça, alors je pense qu'une analyse plus approfondie va être nécessaire pour pouvoir répondre à la question. Par exemple, vous pouvez répertorier les pilotes de filtre de système de fichiers actuellement chargés avec fltmc.exe et kernrate.exe peut vous aider à isoler les modules à l'origine d'entrées / sorties de disque excessivement élevées.

Ryan Ries
la source
@zmbq: Avez-vous réussi à savoir ce qui se passe?
7

Le processus système est utilisé par Windows Update. Si vous avez choisi d'installer les mises à jour automatiquement, il est probable que votre système installe actuellement le logiciel Windows. Si vous exécutez Windows Update et essayez d'installer des mises à jour, vous recevrez un message vous indiquant que vous ne pouvez pas l'installer car Windows met actuellement à jour le système.

Modifiez Windows Update pour ne pas télécharger ni installer sans action manuelle et attendez la fin de l'installation en cours.

Caronte
la source
1
Cela a fonctionné pour moi. Mon problème était IE fait Système (PID4) utiliser 100% du lecteur. Désactiver la mise à jour automatique de IE (Aide-> À propos de IE-> Installer les nouvelles versions automatiquement) a corrigé le problème.
Coomie
@ Coomie quelle version d'IE a cette "fonctionnalité"?
MDMoore313
@ MDMoore313 IE 10
Coomie
@ Microsoft, Pourquoi IE devrait-il se mettre à niveau à partir de kernel-mode / ring0?
Петър Петров
1

J'ai eu exactement les mêmes symptômes. Dans mon cas, ils étaient liés à Norton360 et au service VSS MS-SQL. Une fois que j'ai désactivé VSS, mon activité a chuté de manière significative. Le système se bloque toujours lorsque Norton le fait, mais il est semi-supportable, car cela ne semble se produire que toutes les heures.

aggaton
la source
1

En publiant cette réponse ici, je suis tombé sur ce fil lorsque je cherchais des réponses sur les raisons pour lesquelles le processus système 4 consommait autant de trafic en lecture / écriture.

Les utilisateurs qui possèdent des lecteurs mappés ou qui se connectent à un chemin UNC vers un partage, en particulier avec une structure de répertoire de bonne taille, recevraient tout à coup une tonne de trafic en continu provenant du serveur hôte. Normalement, je verrais 100-300k, dès que vous développez dans le volet de navigation, il s'élèverait à plus de 20 000k.

Nous avons fini par désactiver l'option Développer automatiquement le dossier en cours dans l'Explorateur et ce trafic a disparu.

http://www.sevenforums.com/tutorials/1014-navigation-pane-automatically-expand-current-folder.html

ssaviers
la source
0

J'ai eu un problème similaire, mais dans mon cas, il semble que les fichiers hors connexion aient été activés. Je vais étudier le côté serveur (par exemple, je pensais qu'il était désactivé globalement via la stratégie de groupe et sur les partages .....), mais deux ordinateurs Windows 7 installés dans un bureau distant essayaient joyeusement de synchroniser plusieurs centaines Go sur une connexion VPN.

(Modifier avant publication: les fichiers hors connexion n’étaient pas correctement désactivés sur les partages, éventuellement après une migration de serveur.

poteau de clôture
la source