Jedes Mal, wenn ich meinen Computer einschalte, werden mysteriöse „deinstallierte Prozesse“ über das Netzwerk ausgeführt

Ich bin mit meinem Windows 10 / Ubuntu-Laptop mit Dual-Boot unterwegs und habe oft nur eingeschränkten Zugang zu WLAN. Wenn ich die Windows-Seite der Dinge starte (oder nach einer Weile aus dem Schlaf aufwache), tritt häufig eine Phase auf, in der die Netzwerkleistung schlechter als erwartet ist.

Beim Öffnen des Task-Managers wird über "App-Verlauf" angezeigt, dass das Netzwerk nach dem Aufwachen normalerweise einige Minuten lang an "Deinstallierte Prozesse" gebunden ist. Mit "peg" meine ich, dass ihre Netzwerknutzung im Gleichschritt mit allem anderen, was ich geöffnet habe und das versucht, kontinuierlich herunterzuladen, zunimmt. Normalerweise wird es nach ein paar Minuten leise, aber es ist extrem ärgerlich, wenn es aktiv ist. Es ist schlimmer, wenn ich an mein Telefon gebunden bin, seitdem zahle ich echte Dollars für diese Aktivität.

Hier ist eine typische Aufnahme der Liste "App-Verlauf" nach dem Aufwachen und Verwenden von "Nutzungsverlauf löschen", um alle Zähler auf Null zu bringen:

Dies ist einige Zeit, nachdem die "deinstallierten Prozesse" die Verwendung des Netzwerks beendet haben, aber zunächst nach dem Aufwecken wurde es für das höchste Netzwerk mit Prozess gebunden.

Dies ist eine neue Box, und ich habe vielleicht ein Dutzend Dinge darauf deinstalliert, aber in letzter Zeit keine, und seit der letzten Neuinstallation gab es viele Neustarts.

Ich bin ziemlich verzweifelt nach einem Tipp, wie man diesen Schurkenprozess aufspürt.

— BeeOnRope
quelle

Ich nehme an, dass Sie auf geklickt haben, Delete usage historyaber das Uninstalled processesNetzwerk immer noch wächst ? Welche Antivirensoftware haben Sie? Ich schätze, dass ein Prozess fälschlicherweise dazu gehört Uninstalled processes.

— Vojtěch Dohnal

Ja, ich klicke so oft. Ich benutze nur den eingebauten Microsoft Defender oder wie auch immer er in Windows 10 heißt.

— BeeOnRope

Dies scheint auch Windows 8 zu betreffen .

— Dmitry Grigoryev

Diese Prozesse sind ein großes Rätsel. Diese forensische Präsentation erklärt sie nicht hilfreich als: "Deinstallierte Prozesse sind alle Programme, die sich nicht mehr auf der Festplatte befinden (an ihren ursprünglichen Speicherorten)." Meine Theorie ist, dass dies entweder Windows oder das Antivirenprogramm ist, das versucht, Microsoft Informationen über diese Prozesse zu übermitteln. Versuchen Sie, alles unter Einstellungen -> Update & Sicherheit -> Windows Defender zu deaktivieren, und starten Sie zweimal neu, um festzustellen, ob dies verschwindet.

— Harrymc

Was ist mit der Verwendung von Sysinternals ProcessExplorer anstelle von Task-Manager? Es gibt keine magische Gruppe deinstallierter Prozesse. Anschließend können Sie die Frage mit Informationen zu Prozess und Thread aktualisieren, die das Netzwerk wirklich nutzen. Außerdem haben sie Sysinternals TCPView, das für Ihren Zweck sogar noch besser wäre, schließlich Process Monitor.

— Vojtěch Dohnal

Antworten:

Wie in der von harrymc in den Kommentaren verknüpften forensischen Präsentation erwähnt , ist der Eintrag Deinstallierte Prozesse die Summe der Statistiken für Prozesse, deren ausführbare Dateien auf der Festplatte nicht mehr gefunden werden können. Der Windows-Systemressourcennutzungsmonitor identifiziert Programme anhand von Folie 17 dieser Präsentation anhand ihrer vollständigen Objektmanagernamen (bei Desktop-Apps), des Dienstnamens (bei Diensten) oder der Windows Store-Anwendungs-ID .

Der Task-Manager versucht, den Anwendungstitel für jeden Eintrag anzuzeigen, diese Informationen werden jedoch nicht in der SRUM-Datenbank gespeichert, sondern nur in den Eigenschaften der ausführbaren Datei. Die Theorie besagt, dass der Task-Manager, wenn er die EXE-Datei des Programms nicht finden kann, die Statistiken in deinstallierte Prozesse zusammenfasst . Wir können diese Theorie mit Hilfe der Wissenschaft überprüfen ! Laden Sie Ihr bevorzugtes tragbares Programm herunter, das viel von einer Systemressource verwendet (z. B. Procmon , was einige CPU-Zeit in Anspruch nimmt, wenn Sie es eine Weile ungefiltert laufen lassen). Beachten Sie den Eintrag in der Task-Manager-Buchhaltung. Schließen und löschen / verschieben Sie nun das Testprogramm und öffnen Sie den Task-Manager erneut. Die verwendeten Ressourcen wurden dem Eintrag Deinstallierte Prozesse hinzugefügt .

Beachten Sie, dass der Task-Manager ein Programm möglicherweise als "deinstalliert" betrachtet, wenn auf seine ausführbare Datei aus irgendeinem Grund nicht zugegriffen werden kann, nicht nur auf Abwesenheit. In diesem Fall befindet sich das für die Aktivität verantwortliche Programm in einem Systemverzeichnis, auf das selbst Administratoren (standardmäßig) nicht zugreifen können. Weitere Informationen dazu erhalten Sie mit Process Explorer .

Daher wird die Netzwerknutzung von einem Programm ausgeführt, das zum Zeitpunkt des Ausführens des Task-Managers nicht gefunden werden kann. Dies wird mit ziemlicher Sicherheit durch eine Desktop-Anwendung verursacht, die eine andere EXE-Datei (z. B. ein Update Checker-Programm) ausgibt oder extrahiert, diese EXE-Datei ausführt und sie nach dem Beenden löscht. Um herauszufinden, was es tut, können Sie versuchen, die SRUM-Datenbank direkt zu analysieren (wie in der Präsentation beschrieben), die Boot-Protokollierungsfunktion von Procmon verwenden oder einige Ihrer Autostart-Anwendungen mit Autoruns deaktivieren .

— Ben N.
quelle

@harrymc Das Programm war einmal vorhanden, hat einige Aktivitäten ausgeführt (die unter dem Programmpfad aufgezeichnet wurden), wurde beendet und dann gelöscht. Die Aktivität wurde dann in den Eintrag Deinstallierte Prozesse verschoben .

— Ben N

@harrymc Gemäß dem Text auf der Registerkarte "App-Verlauf" des Task-Managers wird die Ressourcennutzung seit dem aktuellen Datum "für aktuelle Benutzer- und Systemkonten" angezeigt. Ich schlug vor, die Startprotokollierung zu verwenden, nicht weil der Task-Manager anzeigt, was während des Startvorgangs passiert ist, sondern weil diese Procmon-Funktion Dinge erfassen kann, die passiert sind, bevor sich ein Benutzer überhaupt anmeldet (wenn die Datei vorhanden ist).

— Ben N

Eine andere Möglichkeit wäre Legacy-Software, schlecht geschriebene Software, falsch gepatchte Software oder sogar Malware, die sich in der Registrierung nicht so identifiziert, wie es gute Windows-Software tun soll.

— Xalorous

Danke @BenN. Obwohl ich den Ursprung dieser Prozesse nicht endgültig bestimmen konnte, ist Ihre Theorie sehr sinnvoll. Ich habe festgestellt, dass die Komponente "Windows-Upload- / Download-Dienst" während dieser Zeit zu den aktivsten Benutzern des Netzwerks gehört (gemäß der Live-Spalte "Netzwerk" auf der Registerkarte "Prozesse"), jedoch nicht in der "App" angezeigt wird Verlauf "Registerkarte überall (die einzige offensichtliche Auslassung). Vielleicht ist dieser Typ der Schuldige.

— BeeOnRope

Glückwunsch. Ihre Antwort war gut genug, um als offensichtliche, falsche LQ-Antwort für Audits ausgewählt zu werden: superuser.com/review/low-quality-posts/564589 . (Übrigens, ich habe es richtig gemacht.) ;-)

— fixer1234

Diese Prozesse sind eines der großen Rätsel von Windows und nicht alle dokumentiert. Dies öffnet die Tür zur Spekulation. Für mich reimt sich undokumentiert auf Teile von Windows 10, über die Microsoft nicht gerne spricht.

Eine Definition dieser Prozesse finden Sie in dieser Forensik-Präsentation SRUM Forensics , die sie nicht hilfreich erklärt als:

'Deinstallierte Prozesse' sind alle Programme, die sich nicht mehr auf der Festplatte befinden (an ihren ursprünglichen Speicherorten).

Da ein Programm , das nicht mehr auf der Festplatte ist auch nicht länger fähig ist Netzwerk - Aktivität, steht es auf Grund , dass diese Netzwerkaktivität ist etwa als vielmehr durch diese uninstalled Prozesse, und die einzige Einheit anfällig, das zu tun ist Windows- oder eines seiner Komponenten, deren Hauptbestandteil die Telemetrie ist, die dafür bekannt sind, schlecht dokumentiert zu sein und die Privatsphäre zu beeinträchtigen.

Der Artikel Windows 10-Telemetriegeheimnisse definiert Telemetrie:

Microsoft definiert Telemetrie als "Systemdaten, die von der Connected User Experience- und Telemetrie-Komponente hochgeladen werden", auch als Universal Telemetry Client oder UTC-Dienst bezeichnet. (Mehr dazu in Kürze.)

Microsoft verwendet Telemetriedaten von Windows 10, um Sicherheits- und Zuverlässigkeitsprobleme zu identifizieren, Softwareprobleme zu analysieren und zu beheben, die Qualität von Windows und verwandten Diensten zu verbessern und Entwurfsentscheidungen für zukünftige Versionen zu treffen.

Meine Theorie ist, dass Windows versucht, seinen geheimen Telemetrieservern die Identität der deinstallierten Prozesse mitzuteilen. Oder vielleicht versucht Windows Defender (jetzt ein unzerbrechlicher Teil von Windows), Informationen über diese Prozesse zu kommunizieren.

Versuchen Sie, alles unter Einstellungen -> Update & Sicherheit -> Windows Defender zu deaktivieren , und starten Sie zweimal neu, um festzustellen, ob dies verschwindet. Windows 10 ist jedoch für Telemetrie bekannt, die nicht vollständig gestoppt werden kann.

Wenn dies nicht hilft, versuchen Sie, ein Produkt wie TCPView zu verwenden, um die IP-Adresse des Servers zu ermitteln, mit dem diese Kommunikation erfolgt. Ich gehe hier davon aus, dass die Netzwerkaktivität auf das Internet ausgerichtet ist und leicht durch Booten ohne Internetverbindung getestet werden kann. Der Task-Manager maskiert möglicherweise die Identität dieses Prozesses unter dem Namen "Deinstallierte Prozesse", aber möglicherweise sagt der Prozess-Explorer die Wahrheit.

Sobald Sie die IP-Adresse des Servers kennen, können Sie einen whois-Dienst wie IP WHOIS Lookup verwenden , um den Eigentümer der Website zu identifizieren.

— harrymc
quelle

Mystery Downvoter - Identifizieren Sie sich und erklären Sie.

— Harryc