El proceso del sistema (PID 4) accede constantemente al disco duro

50

Recientemente noté que algunas de nuestras máquinas se están volviendo lentas, principalmente después del arranque. Utilizando el sistema Resource Monitor, detecté un acceso excesivo al disco desde el proceso del sistema con PID 4. Siguiendo algunos consejos, deshabilité el antivirus en la carpeta de Información del volumen del sistema, esperando que ayude (no quiero deshabilitar la restauración del sistema).

Sin embargo, parece que PID 4 está accediendo a todo . Cuando ejecuto una extracción simple de un archivo ZIP, puedo ver que WinRAR lee unos pocos cientos de KB por segundo del archivo, pero el PID 4 lee docenas de MB por segundo del mismo archivo. Después de cancelar la operación, PID 4 sigue accediendo al archivo durante unos 30 segundos, leyendo muchos MB por segundo. Esto no es un error del Monitor de recursos, ya que el disco está claramente activo y se detiene una vez que los monitores de recursos dicen que PID 4 finalmente está en reposo.

¿Por qué este proceso milagroso accede a todo lo que accede a cualquier otro proceso?

Estoy usando el antivirus AVG. Deshabilitarlo no cambió este comportamiento /

¿Que esta pasando aqui?

zmbq
fuente
1
PID 4 es la ID del proceso para el proceso del SISTEMA de Windows. De hecho, es muy parecido al PID 1 en sistemas Unix. Una gran cantidad de los servicios se ejecutan bajo PID 4.
sysadmin1138
¿No se ejecutan los servicios bajo sus propios procesos? De todos modos, incluso si eso es así, ¿por qué los accesos a archivos normales en los procesos normales que no son de servicio se realizan principalmente bajo PID 4?
zmbq
Tengo el mismo problema y no puedo encontrar ninguna solución también. Por casualidad, ¿usas TrueCrypt? Utilizo el cifrado de todo el sistema TrueCrypt y sospecho que podría ser la causa, ya que se ejecuta en "Sistema" como controlador, y necesita cifrar / descifrar cada acceso a los archivos.
No, no hay TrueCrypt ni ninguna forma de cifrado aquí.
zmbq
Pregunta relacionada aquí: superuser.com/questions/349349/...

Respuestas:

28

Esta es una pregunta anterior, pero tuve este problema, y ​​para mí fue SuperFetch. Intenté todo lo que pude encontrar en el uso excesivo del disco duro PID 4, y algo de eso me ayudó. Una actualización de RAM de 4GB a 8GB solo hizo que el problema fuera más obvio: el uso de RAM era bajo, sin paginación, pero el disco duro se encendió durante ~ 10 minutos después de que mi computadora portátil se iniciara.

En pocas palabras, hay una configuración de registro que controla qué nivel de SuperFetch es apropiado. Puede ver a continuación que el valor EnableSuperfetch ahora está establecido en 1, que parece ser "captar previamente todos los archivos ejecutables y bibliotecas". El valor predeterminado es un 3, que parece significar "captar previamente todos los ejecutables, bibliotecas y documentos". Tengo muchos documentos, así que creo que esto tardó demasiado. Cada documento abierto es otro que SuperFetch tiene que "analizar" para ver cómo lo está utilizando.

La clave / valor del registro en cuestión es: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch

Hasta ahora, el único inconveniente es que mis carpetas de Outlook tardan unos segundos más en abrirse, y algunos documentos de uso común como los archivos de MS Project tardan más. ¡Pero esos retrasos palidecen en comparación con el disco duro que estaba experimentando antes!

Clave de registro SuperFetch

drharris
fuente
55
Configuración de Peefetch descrita aquí
gbjbaanb
funcionó muy bien para mí .. !!
Nirmal- Piensa más allá del
11

Muchos servicios del sistema (no me refiero a los servicios de Windows) se ejecutan bajo PID 4, el proceso "Sistema". Cada vez que abre un archivo, desencadena una serie de mecanismos en segundo plano, como el administrador de memoria virtual que almacena el archivo en la memoria caché, mueve otras cosas en la memoria, repara fallas de página, etc. Esa actividad es independiente de la actividad del disco cargada contra el proceso que originalmente accedió al archivo, por ejemplo, WinRAR.

Dicho esto, lo que estás describiendo todavía no me parece un comportamiento normal. Debería ver un aumento rápido en la actividad del disco del proceso del Sistema cuando se accede al archivo, y luego debería volver a 0 bastante rápido, en un par de segundos.

Hice algunas pruebas en mi propia máquina con Windows Resource Monitor y vi un comportamiento algo similar. Lo que creo que estamos presenciando es el Monitor de recursos que nos muestra algún tipo de promedio móvil que es lento en caer.

Intente observar la actividad del disco PID 4 utilizando otra herramienta como el Explorador de procesos de Sysintenals . Tengo una impresión muy diferente, ya que el proceso de Lectura de Delta y Lectura de Bytes por el Sistema parece volver a 0 mucho más rápido que cuando se visualiza a través de ResMon.


Editar: si no es así, creo que será necesario un análisis más profundo para responder la pregunta. Por ejemplo, puede enumerar los controladores de filtro del sistema de archivos cargados actualmente con fltmc.exe, y kernrate.exe puede ayudarlo a aislar aquellos módulos que están causando una E / S de disco excesivamente alta.

Ryan Ries
fuente
@zmbq: ¿Has logrado averiguar qué está pasando?
7

El proceso del sistema lo utiliza Windows Update. Si ha seleccionado instalar actualizaciones automáticamente, es probable que sus sistemas estén actualmente instalando el software de Windows. Si ejecuta Windows Update e intenta instalar actualizaciones, recibirá un mensaje que le indicará que no puede instalar ya que Windows está actualizando el sistema.

Cambie la Actualización de Windows a no descargar e instalar sin acción manual y espere a que finalice la instalación actual.

Caronte
fuente
1
Esto funcionó para mí. Mi problema fue que el sistema hecho por IE (PID4) usa el 100% de la unidad. Desactivar la actualización automática de IE (Ayuda-> Acerca de IE-> Instalar nuevas versiones automáticamente) lo solucionó.
Coomie
@Coomie, ¿qué versión de IE tiene esta 'característica'?
MDMoore313
@ MDMoore313 IE 10
Coomie
@Microsoft, ¿por qué IE debería actualizarse desde kernel-mode / ring0?
Петър Петров
1

Tuve exactamente los mismos síntomas. En mi caso, estaban relacionados con Norton360 y el servicio VSS de MS-SQL. Una vez que desactivé VSS, mi actividad disminuyó significativamente. El sistema todavía se bloquea cuando Norton hace lo suyo, pero es semi soportable ya que solo parece suceder cada hora.

aggaton
fuente
1

Al publicar esta respuesta aquí, me topé con este hilo al buscar respuestas sobre por qué el proceso del sistema 4 consumía tanto tráfico de lectura / escritura.

Los usuarios que hayan mapeado unidades o hayan salido a una ruta UNC a un recurso compartido, especialmente algo con una estructura de directorio de buen tamaño, recibirían de repente una tonelada de tráfico continuo desde el servidor host. Normalmente vería 100-300k, tan pronto como se expanda en el panel de navegación se disparará en el rango de más de 20,000k.

Terminé deshabilitando la opción expandir automáticamente a la carpeta actual en Explorer y ese tráfico desaparece.

http://www.sevenforums.com/tutorials/1014-navigation-pane-automatically-expand-current-folder.html

ssaviers
fuente
0

Tuve un problema similar, sin embargo, en mi caso, parece que de alguna manera los archivos sin conexión estaban habilitados. Voy a investigar cosas en el lado del servidor (por ejemplo, pensé que estaba deshabilitado globalmente a través de la Política de grupo y en los recursos compartidos .....) pero tenía dos máquinas con Windows 7 en una oficina remota que intentaban sincronizar felizmente varios cientos GB a través de una conexión VPN.

(Editar antes de publicar: los archivos sin conexión no se desactivaron correctamente en los recursos compartidos, posiblemente después de una migración del servidor.

poste de la cerca
fuente