Mystérieux «processus désinstallés» utilisant le réseau chaque fois que j'allume mon ordinateur

8

Je voyage avec mon ordinateur portable Windows 10 / Ubuntu à double démarrage et j'ai souvent un accès assez limité au WiFi. Lorsque je démarre du côté de Windows (ou même que je me réveille du sommeil, après avoir dormi un certain temps), je connais souvent une période de performances réseau moins bonnes que prévu.

En ouvrant le gestionnaire de tâches, je vois via "Historique des applications" que quelque chose appelé "Processus non installés" arrête généralement le réseau pendant quelques minutes après le réveil. Par "cheville", je veux dire que leur utilisation du réseau augmente au même rythme que tout ce que j'ai ouvert qui essaie de télécharger en continu. Habituellement, il se calme après quelques minutes, mais il est extrêmement gênant lorsqu'il est actif. C'est pire quand je suis attaché à mon téléphone, car je paie vraiment de l'argent pour cette activité.

Voici une vue typique de la liste "Historique des applications" après le réveil et l'utilisation de "Supprimer l'historique d'utilisation" pour ramener tous les compteurs à zéro:

capture d'écran du gestionnaire de tâches

C'est quelque temps après que les "processus désinstallés" aient cessé d'utiliser le réseau, mais initialement après le réveil, il était lié au processus utilisant le réseau le plus élevé.

Il s'agit d'une nouvelle boîte, et j'ai peut-être désinstallé une douzaine de choses, mais aucune récemment et il y a eu beaucoup de redémarrages depuis la dernière réinstallation.

Je suis assez désespéré pour toute astuce sur la façon de suivre ce processus voyou.

networking windows-10 process task-manager BeeOnRope
la source
Je suppose que vous avez cliqué sur Delete usage historymais le Uninstalled processesréseau continue d'augmenter? De quel logiciel antivirus disposez-vous? J'estime qu'un processus est mal placé Uninstalled processes.
Vojtěch Dohnal
Oui, je clique souvent dessus. J'utilise simplement le défenseur Microsoft intégré ou tout autre nom dans Windows 10.
BeeOnRope
Cela semble également affecter Windows 8 .
Dmitry Grigoryev
Ces processus sont un grand mystère. Cette présentation médico-légale les explique de manière inutile: "Les processus non installés ne sont plus tous les programmes sur le disque (dans leurs emplacements d'origine)". Ma théorie est que c'est Windows ou l'antivirus qui essaie de communiquer des informations sur ces processus à Microsoft. Essayez de tout désactiver sous Paramètres -> Mise à jour et sécurité -> Windows Defender, et redémarrez deux fois pour voir si cela disparaît.
harrymc
1
Qu'en est-il de l'utilisation de Sysinternals ProcessExplorer au lieu du gestionnaire de tâches, il n'y a pas de groupe de processus désinstallés magique. Ensuite, vous pouvez mettre à jour la question avec des informations sur le processus et le thread qui utilisent vraiment le réseau. Ils ont également Sysinternals TCPView, ce qui serait encore mieux pour votre objectif, éventuellement Process Monitor.
Vojtěch Dohnal

Réponses:

5

Comme mentionné dans la présentation médico-légale liée par harrymc dans les commentaires, l' entrée Processus non installés est la somme des statistiques des processus dont les exécutables sur disque ne peuvent plus être trouvés. Le moniteur d'utilisation des ressources système Windows, comme en témoigne la diapositive 17 de cette présentation, identifie les programmes par leurs noms complets de gestionnaire d'objets (dans le cas des applications de bureau), le nom du service (dans le cas des services) ou l'ID d'application du Windows Store .

Le Gestionnaire des tâches essaie d'afficher le titre de l'application pour chaque entrée, mais ces informations ne sont pas stockées dans la base de données SRUM - elles se trouvent uniquement dans les propriétés de l'exécutable. La théorie est que si le Gestionnaire des tâches ne peut pas trouver l'EXE du programme, il regroupe les statistiques dans les processus désinstallés . Nous pouvons vérifier cette théorie en utilisant la science ! Téléchargez votre programme portable préféré qui utilise beaucoup d'une ressource système (par exemple Procmon , qui prend du temps CPU si vous le laissez s'exécuter sans filtre pendant un peu). Notez son entrée dans la comptabilité du gestionnaire de tâches. Fermez et supprimez / déplacez le programme de test, puis rouvrez le Gestionnaire des tâches. Les ressources utilisées ont été ajoutées à l' entrée Processus non installés .

Notez que le Gestionnaire des tâches peut considérer un programme «désinstallé» si son exécutable est inaccessible pour une raison quelconque, et pas seulement une absence. Dans ce cas, le programme responsable de l'activité résiderait dans un répertoire système inaccessible même aux administrateurs (par défaut). Vous pouvez obtenir plus d'informations à ce sujet avec Process Explorer .

Par conséquent, l'utilisation du réseau est effectuée par un programme introuvable au moment où vous exécutez le Gestionnaire des tâches. Cela est presque certainement dû à une application de bureau qui vide ou extrait un autre EXE (par exemple un programme de vérification de mise à jour), exécute cet EXE, puis le supprime après sa fermeture. Pour comprendre ce qui se passe, vous pouvez essayer d'analyser la base de données SRUM directement (comme décrit dans la présentation), utiliser la capacité de journalisation de démarrage de Procmon ou essayer de désactiver certaines de vos applications de démarrage automatique avec Autoruns .

Ben N
la source
@harrymc Le programme a existé à un moment donné, a fait une certaine activité (qui a été enregistrée sous le chemin du programme), s'est arrêté et a ensuite été supprimé. L'activité a ensuite été déplacée dans l' entrée Processus non installés .
Ben N
@harrymc Selon le texte de l'onglet "Historique des applications" du Gestionnaire des tâches, il indique l'utilisation des ressources depuis la date actuelle "pour les comptes utilisateur et système actuels". J'ai suggéré d'utiliser la journalisation du démarrage non pas parce que le Gestionnaire des tâches montre ce qui s'est passé pendant le démarrage, mais parce que cette fonctionnalité Procmon peut capturer des choses qui se sont produites avant qu'un utilisateur ne se connecte même (c'est-à-dire lorsque le fichier existe).
Ben N
Une autre possibilité serait un logiciel hérité, un logiciel mal écrit, un logiciel incorrectement corrigé ou même un logiciel malveillant, qui ne s'identifie pas dans le registre comme un bon logiciel Windows est censé le faire.
Xalorous
Merci @BenN. Bien que je n'aie pas été en mesure de déterminer de manière concluante l'origine de ces processus, votre théorie a beaucoup de sens. J'ai remarqué que le composant "Service de téléchargement / téléchargement Windows" est parmi les utilisateurs les plus actifs du réseau pendant cette période (selon la colonne "Réseau" en direct dans l'onglet "Processus"), mais n'est pas reflété dans "Application" Onglet "Historique" n'importe où (la seule omission évidente). Alors peut-être que ce gars est le coupable.
BeeOnRope
Félicitations. Votre réponse a été assez bonne pour être choisie comme une réponse LQ évidente et bidon pour les audits: superuser.com/review/low-quality-posts/564589 . (BTW, j'ai bien compris.) ;-)
fixer1234
0

Ces processus sont l'un des grands mystères de Windows et ne sont pas tous documentés. Cela ouvre la porte à la spéculation. Pour moi, non documenté rime avec des parties de Windows 10 dont Microsoft n'aime pas parler.

Une définition de ces processus peut être trouvée dans cette présentation médico - légale SRUM forensics qui les explique sans aide comme:

Les «processus non installés» sont tous les programmes qui ne sont plus sur le disque (dans leurs emplacements d'origine)

Puisqu'un programme qui n'est plus sur disque n'est également plus capable d'avoir une activité réseau, il va de soi que cette activité réseau concerne plutôt que par ces processus désinstallés, et la seule entité susceptible de le faire est Windows ou l'un de ses composants, dont le principal est la télémétrie, connue pour être mal documentée et envahissante de la vie privée.

L'article Windows 10 secrets de télémétrie définit la télémétrie:

Microsoft définit la télémétrie comme «les données système qui sont téléchargées par le composant Connected User Experience and Telemetry», également connu sous le nom de Universal Telemetry Client ou service UTC. (Plus d'informations à ce sujet sous peu.)

Microsoft utilise les données de télémétrie de Windows 10 pour identifier les problèmes de sécurité et de fiabilité, pour analyser et résoudre les problèmes logiciels, pour aider à améliorer la qualité de Windows et des services connexes, et pour prendre des décisions de conception pour les versions futures.

Ma théorie est que Windows essaie de communiquer à ses serveurs de télémétrie secrets l'identité des processus désinstallés. Ou peut-être Windows Defender (maintenant une partie incassable de Windows) essayant de communiquer des informations sur ces processus.

Essayez de tout désactiver sous Paramètres -> Mise à jour et sécurité -> Windows Defender , et redémarrez deux fois pour voir si cela disparaît. Cependant, Windows 10 est connu pour la télémétrie qui ne peut pas être totalement arrêtée.

Si cela n'aide pas, essayez d'utiliser un produit tel que TCPView pour trouver l'adresse IP du serveur avec lequel cette communication est établie . Je suppose ici que l'activité réseau est dirigée vers Internet, testable facilement en démarrant sans connectivité Internet. Le Gestionnaire des tâches peut masquer l'identité de ce processus sous le nom de «Processus non installés», mais peut-être que Process Explorer dira la vérité.

Une fois que vous connaissez l'adresse IP du serveur, vous pouvez utiliser un service whois, tel que IP WHOIS Lookup, pour identifier le propriétaire du site Web.

harrymc
la source
Mystery downvoter - identifiez-vous et expliquez.
harrymc