Viajo con mi computadora portátil Windows 10 / Ubuntu de arranque dual y, a menudo, tengo acceso bastante limitado a WiFi. Cuando inicio en el lado de Windows (o incluso me despierto después de dormir un rato), a menudo experimento un período de rendimiento de la red peor de lo esperado.
Al abrir el administrador de tareas, veo a través del "Historial de aplicaciones" que algo llamado "Procesos desinstalados" normalmente conecta la red durante unos minutos después de despertarse. Por "clavija" quiero decir que el uso de su red aumenta en el bloqueo con cualquier otra cosa que tenga abierta que esté intentando descargar continuamente. Por lo general, se calla después de unos minutos, pero es extremadamente molesto mientras está activo. Es peor mientras estoy atado a mi teléfono, desde entonces estoy pagando dólares reales por esta actividad.
Aquí hay una toma típica de la lista "Historial de aplicaciones" después de despertarse y usar "Eliminar historial de uso" para poner todos los contadores a cero:
Esto es un tiempo después de que los "procesos desinstalados" dejaron de usar la red, pero inicialmente después de despertarse, estaba vinculado a la red más alta usando el proceso.
Esta es una nueva caja, y he desinstalado quizás una docena de cosas en ella, pero ninguna recientemente y ha habido muchos reinicios desde la última reinstalación.
Estoy bastante desesperado por cualquier consejo sobre cómo rastrear este proceso deshonesto.
fuente
Delete usage history
pero laUninstalled processes
red sigue aumentando? ¿Qué software antivirus tienes? Estimo que algún proceso se coloca incorrectamente entre ellosUninstalled processes
.Respuestas:
Como se aludió en la presentación forense vinculada por harrymc en los comentarios, la entrada de procesos Desinstalados es la suma de las estadísticas para procesos cuyos ejecutables en disco ya no se pueden encontrar. El Monitor de uso de recursos del sistema de Windows, como lo demuestra la diapositiva 17 de esa presentación, identifica los programas con sus nombres completos de Object Manager (en el caso de las aplicaciones de escritorio), el nombre del servicio (en el caso de los servicios) o el ID de la aplicación de la Tienda Windows .
El Administrador de tareas intenta mostrar el título de la aplicación para cada entrada, pero esa información no se almacena en la base de datos SRUM, solo se encuentra en las propiedades del ejecutable. La teoría es que si el Administrador de tareas no puede encontrar el EXE del programa, agrupa las estadísticas en procesos Desinstalados . ¡Podemos verificar esa teoría usando la ciencia ! Descargue su programa portátil favorito que utiliza muchos recursos del sistema (por ejemplo , Procmon , que lleva algo de tiempo de CPU si lo deja funcionar sin filtro durante un tiempo). Tenga en cuenta su entrada en la contabilidad del Administrador de tareas. Ahora cierre y elimine / mueva el programa de prueba, y vuelva a abrir el Administrador de tareas. Los recursos utilizados se han agregado a la entrada de procesos Desinstalados .
Tenga en cuenta que el Administrador de tareas podría considerar un programa "desinstalado" si su ejecutable es inaccesible por cualquier motivo, no solo por ausencia. En ese caso, el programa responsable de la actividad residiría en un directorio del sistema inaccesible incluso para los administradores (por defecto). Puede obtener más información al respecto con Process Explorer .
Por lo tanto, el uso de la red lo realiza un programa que no se puede encontrar en el momento en que ejecuta el Administrador de tareas. Es casi seguro que esto es causado por una aplicación de escritorio que descarga o extrae otro EXE (por ejemplo, un programa de verificación de actualizaciones), ejecuta ese EXE y luego lo elimina una vez que se cierra. Para averiguar qué lo está haciendo, puede intentar analizar la base de datos SRUM directamente (como se describe en la presentación), usar la capacidad de registro de arranque de Procmon o intentar deshabilitar algunas de sus aplicaciones de inicio automático con Autoruns .
fuente
Estos procesos son uno de los grandes misterios de Windows y no están todos documentados. Esto abre la puerta a la especulación. Para mí, las rimas indocumentadas con partes de Windows 10 de las que a Microsoft no le gusta hablar.
Una definición de estos procesos se puede encontrar en esta presentación forense SRUM forense que sin ayuda los explica como:
Desde un programa que ya no está en el disco también ya no es capaz de tener actividad de la red, es lógico pensar que esta actividad de la red es aproximadamente más que por estos procesos no instalados, y la única entidad susceptibles de hacerlo es Windows o uno de sus componentes, el principal de los cuales es la telemetría, conocido por estar mal documentado e invasivo de la privacidad.
El artículo Secretos de telemetría de Windows 10 define la telemetría:
Mi teoría es que este es Windows tratando de comunicar a sus servidores secretos de telemetría la identidad de los procesos desinstalados. O tal vez Windows Defender (ahora una parte irrompible de Windows) que intenta comunicar información sobre estos procesos.
Intente deshabilitar todo en Configuración -> Actualización y seguridad -> Windows Defender , y reinicie dos veces para ver si esto desaparece. Sin embargo, Windows 10 es conocido por la telemetría que no se puede detener por completo.
Si esto no ayuda, intente utilizar un producto como TCPView para encontrar la dirección IP del servidor con el que se realiza esta comunicación. Asumo aquí que la actividad de la red es hacia Internet, que se puede probar fácilmente iniciando sin conexión a Internet. El Administrador de tareas puede enmascarar la identidad de ese proceso bajo el nombre de "Procesos desinstalados", pero tal vez Process Explorer dirá la verdad.
Una vez que conoce la dirección IP del servidor, puede utilizar un servicio whois, como la búsqueda de IP WHOIS para identificar al propietario del sitio web.
fuente