Estou viajando com meu laptop Windows 10 / Ubuntu de inicialização dupla e geralmente tenho acesso bastante limitado ao Wi-Fi. Quando eu inicializo no lado do Windows (ou até acordo após dormir um pouco), geralmente encontro um período de desempenho de rede pior que o esperado.
Ao abrir o gerenciador de tarefas, vejo via "App History" que algo chamado "Processos não desinstalados" normalmente vincula a rede por alguns minutos após a ativação. Por "peg", quero dizer que o uso de sua rede aumenta em sincronia com qualquer outra coisa que eu tenha aberto que esteja tentando fazer o download continuamente. Geralmente fica quieto após alguns minutos, mas é extremamente irritante enquanto está ativo. É pior enquanto estiver conectado ao meu telefone, desde então estou pagando dólares reais por essa atividade.
Aqui está uma foto típica da lista "Histórico de aplicativos" depois de ativar e usar "Excluir histórico de uso" para zerar todos os contadores:
Isso ocorre algum tempo depois que os "processos desinstalados" pararam de usar a rede, mas inicialmente após a ativação, eles foram vinculados à rede mais alta usando o processo.
Esta é uma nova caixa, e eu desinstalei uma dúzia de coisas, mas nenhuma recentemente e houve muitas reinicializações desde a última reinstalação.
Estou desesperado por alguma dica sobre como rastrear esse processo desonesto.
fonte
Delete usage historymas aUninstalled processesrede ainda está aumentando? Qual software antivírus você possui? Eu estimo que algum processo é colocado incorretamente entre elesUninstalled processes.Respostas:
Conforme mencionado na apresentação forense vinculada por harrymc nos comentários, a entrada Processos não desinstalados é a soma das estatísticas dos processos cujos executáveis em disco não podem mais ser encontrados. O Monitor de Uso de Recursos de Sistema do Windows, conforme evidenciado no slide 17 dessa apresentação, identifica os programas pelos nomes completos do Gerenciador de objetos (no caso de aplicativos de desktop), pelo nome do serviço (no caso de serviços) ou pelo ID do aplicativo da Windows Store .
O Gerenciador de tarefas tenta exibir o título do aplicativo para cada entrada, mas essas informações não são armazenadas no banco de dados SRUM - são apenas nas propriedades do executável. A teoria é que, se o Gerenciador de Tarefas não conseguir encontrar o EXE do programa, ele agrupa as estatísticas nos processos Desinstalados . Podemos verificar essa teoria usando a ciência ! Faça o download do seu programa portátil favorito que utiliza muitos recursos de um sistema (por exemplo , Procmon , que leva algum tempo de CPU, se você o deixar executar sem filtragem por um tempo). Observe sua entrada na contabilidade do Gerenciador de tarefas. Agora feche e exclua / mova o programa de teste e reabra o Gerenciador de Tarefas. Os recursos utilizados foram adicionados à entrada de processos não desinstalados .
Observe que o Gerenciador de tarefas pode considerar um programa "desinstalado" se seu executável estiver inacessível por qualquer motivo, não apenas por ausência. Nesse caso, o programa responsável pela atividade residiria em um diretório do sistema inacessível mesmo para administradores (por padrão). Você pode obter mais informações com o Process Explorer .
Portanto, o uso da rede está sendo feito por um programa que não pode ser encontrado no momento em que você executa o Gerenciador de Tarefas. Isso quase certamente é causado por um aplicativo de desktop que despeja ou extrai outro EXE (por exemplo, um programa verificador de atualização), executa esse EXE e o exclui depois que sai. Para descobrir o que está fazendo isso, você pode tentar analisar o banco de dados SRUM diretamente (como descrito na apresentação), usar o recurso de registro de inicialização do Procmon ou tentar desativar alguns dos aplicativos de inicialização automática com as Execuções Automáticas .
fonte
Esses processos são um dos grandes mistérios do Windows e não estão todos documentados. Isso abre a porta para a especulação. Para mim, rimas não documentadas com partes do Windows 10 sobre as quais a Microsoft não gosta.
Uma definição desses processos pode ser encontrada nesta apresentação forense do SRUM forense que os explica sem ajuda como:
Como um programa que não está mais em disco também não é mais capaz de ter atividade de rede, é lógico que essa atividade de rede seja mais do que por esses processos desinstalados, e a única entidade suscetível de fazer isso é o Windows ou um de seus componentes, o principal dos quais é a telemetria, conhecida por ser mal documentada e invasora da privacidade.
O artigo segredos de telemetria do Windows 10 define telemetria:
Minha teoria é que este é o Windows tentando comunicar aos seus servidores secretos de telemetria a identidade dos processos desinstalados. Ou talvez o Windows Defender (agora uma parte inquebrável do Windows) tentando comunicar informações sobre esses processos.
Tente desativar tudo em Configurações -> Atualização e segurança -> Windows Defender e reinicie duas vezes para ver se isso desaparece. No entanto, o Windows 10 é conhecido por telemetria que não pode ser totalmente interrompida.
Se isso não ajudar, tente usar um produto como o TCPView para encontrar o endereço IP do servidor com o qual esta comunicação é feita. Suponho aqui que a atividade da rede seja direcionada à Internet, testável facilmente inicializando sem conectividade com a Internet. O Gerenciador de tarefas pode mascarar a identidade desse processo com o nome de "Processos não desinstalados", mas talvez o Process Explorer diga a verdade.
Depois de conhecer o endereço IP do servidor, você poderá usar um serviço whois, como Pesquisa WHOIS IP para identificar o proprietário do site.
fonte