Misteriosos "procesos desinstalados" que usan la red cada vez que enciendo mi computadora

8

Viajo con mi computadora portátil Windows 10 / Ubuntu de arranque dual y, a menudo, tengo acceso bastante limitado a WiFi. Cuando inicio en el lado de Windows (o incluso me despierto después de dormir un rato), a menudo experimento un período de rendimiento de la red peor de lo esperado.

Al abrir el administrador de tareas, veo a través del "Historial de aplicaciones" que algo llamado "Procesos desinstalados" normalmente conecta la red durante unos minutos después de despertarse. Por "clavija" quiero decir que el uso de su red aumenta en el bloqueo con cualquier otra cosa que tenga abierta que esté intentando descargar continuamente. Por lo general, se calla después de unos minutos, pero es extremadamente molesto mientras está activo. Es peor mientras estoy atado a mi teléfono, desde entonces estoy pagando dólares reales por esta actividad.

Aquí hay una toma típica de la lista "Historial de aplicaciones" después de despertarse y usar "Eliminar historial de uso" para poner todos los contadores a cero:

captura de pantalla del administrador de tareas

Esto es un tiempo después de que los "procesos desinstalados" dejaron de usar la red, pero inicialmente después de despertarse, estaba vinculado a la red más alta usando el proceso.

Esta es una nueva caja, y he desinstalado quizás una docena de cosas en ella, pero ninguna recientemente y ha habido muchos reinicios desde la última reinstalación.

Estoy bastante desesperado por cualquier consejo sobre cómo rastrear este proceso deshonesto.

BeeOnRope
fuente
¿Supongo que ha hecho clic Delete usage historypero la Uninstalled processesred sigue aumentando? ¿Qué software antivirus tienes? Estimo que algún proceso se coloca incorrectamente entre ellos Uninstalled processes.
Vojtěch Dohnal
Sí, hago clic en eso con frecuencia. Solo estoy usando el defensor de Microsoft incorporado o como se llame en Windows 10.
BeeOnRope
Esto parece afectar también a Windows 8 .
Dmitry Grigoryev
Estos procesos son un gran misterio. Esta presentación forense los explica inútilmente como: "Los procesos desinstalados son todos los programas que ya no están en el disco (en sus ubicaciones originales)". Mi teoría es que este es Windows o el antivirus que intenta comunicar cierta información sobre estos procesos a Microsoft. Intente deshabilitar todo en Configuración -> Actualización y seguridad -> Windows Defender, y reinicie dos veces para ver si esto desaparece.
harrymc
1
¿Qué pasa con el uso de Sysinternals ProcessExplorer en lugar del administrador de tareas, no hay un grupo mágico de procesos desinstalados? Luego puede actualizar la pregunta con información sobre el proceso y el hilo que realmente usa la red. También tienen Sysinternals TCPView, que sería aún mejor para su propósito, eventualmente luego Process Monitor.
Vojtěch Dohnal

Respuestas:

5

Como se aludió en la presentación forense vinculada por harrymc en los comentarios, la entrada de procesos Desinstalados es la suma de las estadísticas para procesos cuyos ejecutables en disco ya no se pueden encontrar. El Monitor de uso de recursos del sistema de Windows, como lo demuestra la diapositiva 17 de esa presentación, identifica los programas con sus nombres completos de Object Manager (en el caso de las aplicaciones de escritorio), el nombre del servicio (en el caso de los servicios) o el ID de la aplicación de la Tienda Windows .

El Administrador de tareas intenta mostrar el título de la aplicación para cada entrada, pero esa información no se almacena en la base de datos SRUM, solo se encuentra en las propiedades del ejecutable. La teoría es que si el Administrador de tareas no puede encontrar el EXE del programa, agrupa las estadísticas en procesos Desinstalados . ¡Podemos verificar esa teoría usando la ciencia ! Descargue su programa portátil favorito que utiliza muchos recursos del sistema (por ejemplo , Procmon , que lleva algo de tiempo de CPU si lo deja funcionar sin filtro durante un tiempo). Tenga en cuenta su entrada en la contabilidad del Administrador de tareas. Ahora cierre y elimine / mueva el programa de prueba, y vuelva a abrir el Administrador de tareas. Los recursos utilizados se han agregado a la entrada de procesos Desinstalados .

Tenga en cuenta que el Administrador de tareas podría considerar un programa "desinstalado" si su ejecutable es inaccesible por cualquier motivo, no solo por ausencia. En ese caso, el programa responsable de la actividad residiría en un directorio del sistema inaccesible incluso para los administradores (por defecto). Puede obtener más información al respecto con Process Explorer .

Por lo tanto, el uso de la red lo realiza un programa que no se puede encontrar en el momento en que ejecuta el Administrador de tareas. Es casi seguro que esto es causado por una aplicación de escritorio que descarga o extrae otro EXE (por ejemplo, un programa de verificación de actualizaciones), ejecuta ese EXE y luego lo elimina una vez que se cierra. Para averiguar qué lo está haciendo, puede intentar analizar la base de datos SRUM directamente (como se describe en la presentación), usar la capacidad de registro de arranque de Procmon o intentar deshabilitar algunas de sus aplicaciones de inicio automático con Autoruns .

Ben N
fuente
@harrymc El programa existió una vez, realizó alguna actividad (que se registró bajo la ruta del programa), salió y luego se eliminó. La actividad se trasladó a la entrada de procesos Desinstalados .
Ben N
@harrymc De acuerdo con el texto en la pestaña "Historial de aplicaciones" del Administrador de tareas, muestra el uso de recursos desde la fecha actual "para las cuentas actuales del usuario y del sistema". Sugerí usar el registro de arranque no porque el Administrador de tareas muestre lo que sucedió durante el arranque, sino porque esa característica de Procmon puede capturar cosas que ocurrieron antes de que un usuario incluso inicie sesión (que es cuando el archivo existe).
Ben N
Otra posibilidad sería el software heredado, software mal escrito, software parcheado incorrectamente o incluso malware, que no se identifica en el registro como se supone que debe hacer un buen software de Windows.
Xalorous
Gracias @BenN. Aunque no he podido determinar de manera concluyente el origen de estos procesos, su teoría tiene mucho sentido. Me di cuenta de que el componente "Servicio de carga / descarga de Windows" se encuentra entre los usuarios más activos de la red durante este tiempo (según la columna "Red" en vivo en la pestaña "Procesos"), pero no se refleja en la "Aplicación Historial "en cualquier lugar (la única omisión obvia). Entonces tal vez ese tipo es el culpable.
BeeOnRope
Felicidades Su respuesta fue lo suficientemente buena como para ser elegida como una respuesta LQ obvia y falsa para auditorías: superuser.com/review/low-quality-posts/564589 . (Por cierto, lo
entendí
0

Estos procesos son uno de los grandes misterios de Windows y no están todos documentados. Esto abre la puerta a la especulación. Para mí, las rimas indocumentadas con partes de Windows 10 de las que a Microsoft no le gusta hablar.

Una definición de estos procesos se puede encontrar en esta presentación forense SRUM forense que sin ayuda los explica como:

'Procesos desinstalados' son todos los programas que ya no están en el disco (en sus ubicaciones originales)

Desde un programa que ya no está en el disco también ya no es capaz de tener actividad de la red, es lógico pensar que esta actividad de la red es aproximadamente más que por estos procesos no instalados, y la única entidad susceptibles de hacerlo es Windows o uno de sus componentes, el principal de los cuales es la telemetría, conocido por estar mal documentado e invasivo de la privacidad.

El artículo Secretos de telemetría de Windows 10 define la telemetría:

Microsoft define la telemetría como "datos del sistema cargados por el componente Connected User Experience and Telemetry", también conocido como Universal Telemetry Client o servicio UTC. (Más sobre eso en breve.)

Microsoft usa datos de telemetría de Windows 10 para identificar problemas de seguridad y confiabilidad, para analizar y solucionar problemas de software, para ayudar a mejorar la calidad de Windows y los servicios relacionados, y para tomar decisiones de diseño para futuras versiones.

Mi teoría es que este es Windows tratando de comunicar a sus servidores secretos de telemetría la identidad de los procesos desinstalados. O tal vez Windows Defender (ahora una parte irrompible de Windows) que intenta comunicar información sobre estos procesos.

Intente deshabilitar todo en Configuración -> Actualización y seguridad -> Windows Defender , y reinicie dos veces para ver si esto desaparece. Sin embargo, Windows 10 es conocido por la telemetría que no se puede detener por completo.

Si esto no ayuda, intente utilizar un producto como TCPView para encontrar la dirección IP del servidor con el que se realiza esta comunicación. Asumo aquí que la actividad de la red es hacia Internet, que se puede probar fácilmente iniciando sin conexión a Internet. El Administrador de tareas puede enmascarar la identidad de ese proceso bajo el nombre de "Procesos desinstalados", pero tal vez Process Explorer dirá la verdad.

Una vez que conoce la dirección IP del servidor, puede utilizar un servicio whois, como la búsqueda de IP WHOIS para identificar al propietario del sitio web.

harrymc
fuente
Mystery downvoter: identifícate y explícate.
harrymc