web-dev-qa-db-ja.com

コンピュータの電源を入れるたびにネットワークを使用する不思議な「アンインストールされたプロセス」

私はデュアルブートのWindows10/Ubuntuラップトップを持って旅行していて、WiFiへのアクセスがかなり制限されていることがよくあります。 Windows側で起動すると(または、しばらくスリープした後、スリープから復帰すると)、ネットワークパフォーマンスが予想よりも低くなることがよくあります。

タスクマネージャーを開くと、「アプリの履歴」を介して、「アンインストールされたプロセス」と呼ばれるものが、通常、起動後数分間ネットワークをペグしていることがわかります。 「ペグ」とは、継続的にダウンロードしようとしている他のものとロックステップでネットワークの使用が増加することを意味します。通常は数分後に静かになりますが、アクティブな間は非常に煩わしいです。それ以来、私はこの活動に実際のお金を払っているので、私の電話につながれている間はもっと悪いです。

これは、ウェイクアップして「使用履歴の削除」を使用してすべてのカウンターをゼロにした後の「アプリ履歴」リストの典型的なショットです。

task manager screenshot

これは、「アンインストールされたプロセス」がネットワークの使用を停止してからしばらく経ちますが、最初はウェイクアップ後、プロセスを使用する最上位のネットワークに関連付けられていました。

これは新しいボックスであり、おそらく12個ものものをアンインストールしましたが、最近はなく、最後の再インストール以降、再起動がたくさんありました。

この不正なプロセスを追跡する方法についてのヒントは、私はかなり必死です。

8
BeeOnRope

コメントでharrymcによってリンクされている フォレンジックプレゼンテーション でほのめかされているように、アンインストールされたプロセスエントリは、ディスク上の実行可能ファイルが見つからなくなったプロセスの統計の合計です。 。そのプレゼンテーションのスライド17に示されているように、Windowsシステムリソース使用状況モニターは、プログラムを完全な オブジェクトマネージャー名 (デスクトップアプリの場合)、サービス名(サービスの場合)で識別します。 、またはWindowsストアアプリケーションID。

タスクマネージャはすべてのエントリのアプリケーションタイトルを表示しようとしますが、その情報はSRUMデータベースに保存されず、実行可能ファイルのプロパティにのみ保存されます。理論は、タスクマネージャがプログラムのEXEを見つけることができない場合、統計をアンインストールされたプロセスにまとめるというものです。 science!を使用してその理論を検証できます。 1つのシステムリソースを大量に使用するお気に入りのポータブルプログラムをダウンロードします(例: Procmon 、フィルターなしで少し実行するとCPU時間がかかります)。タスクマネージャアカウンティングのエントリに注意してください。次に、テストプログラムを閉じて削除/移動し、タスクマネージャを再度開きます。使用されるリソースがアンインストールされたプロセスエントリに追加されました。

タスクマネージャmightプログラムが存在しないだけでなく、何らかの理由で実行可能ファイルにアクセスできない場合は、プログラムが「アンインストールされている」と見なされることに注意してください。その場合、アクティビティを担当するプログラムは、管理者でもアクセスできないシステムディレクトリに存在します(デフォルト)。 Process Explorer を使用すると、詳細情報を取得できます。

したがって、ネットワークの使用は、タスクマネージャーの実行時に見つからないプログラムによって実行されています。これはほぼ確実に、別のEXEをダンプまたは抽出し(更新チェッカープログラムなど)、そのEXEを実行し、終了後に削除するデスクトップアプリケーションが原因です。何が行われているのかを理解するには、SRUMデータベースを直接解析するか(プレゼンテーションで説明されているように)、Procmonの ブートログ機能 を使用するか、-を使用して自動起動アプリケーションの一部を無効にしてみてください。 自動実行

5
Ben N

これらのプロセスはWindowsの大きな謎の1つであり、すべてが文書化されているわけではありません。これは憶測への扉を開きます。私にとって、Microsoftが話すのを嫌うWindows10の一部を含む文書化されていない韻。

これらのプロセスの1つの定義は、このフォレンジックプレゼンテーションにあります SRUMフォレンジック これは役に立たないように説明しています:

「アンインストールされたプロセス」とは、すべてのプログラムがディスク上(元の場所)に存在しなくなったことです。

ディスク上に存在しなくなったプログラムもネットワークアクティビティを実行できなくなるため、このネットワークアクティビティがaboutではなくであるのは当然のことです。 == --- ==)byこれらのアンインストールされたプロセス、およびそれを実行する可能性のある唯一のエンティティは、Windowsまたはそのコンポーネントの1つであり、その主なものはテレメトリであり、文書化が不十分であることが知られています。プライバシーの侵害。

記事 Windows 10テレメトリの秘密 テレメトリを定義します:

マイクロソフトは、テレメトリを「コネクテッドユーザーエクスペリエンスおよびテレメトリコンポーネントによってアップロードされるシステムデータ」と定義しています。これは、ユニバーサルテレメトリクライアントまたはUTCサービスとも呼ばれます。 (これについては後ほど詳しく説明します。)

マイクロソフトは、Windows 10のテレメトリデータを使用して、セキュリティと信頼性の問題を特定し、ソフトウェアの問題を分析して修正し、Windowsと関連サービスの品質を向上させ、将来のリリースの設計上の決定を下します。

私の理論では、これはWindowsがアンインストールされたプロセスのIDを秘密のテレメトリサーバーに通信しようとしているというものです。または、Windows Defender(現在はWindowsの壊れない部分)がこれらのプロセスに関する情報を伝達しようとしている可能性があります。

[設定]-> [更新とセキュリティ]-> [Windows Defender]ですべてを無効にし、2回再起動して、これが消えるかどうかを確認します。ただし、Windows 10は、完全に停止できないテレメトリで知られています。

これで問題が解決しない場合は、 TCPView などの製品を使用して、この通信が行われるサーバーのIPアドレスを見つけてください。ここでは、ネットワークアクティビティはインターネットに向けられており、インターネットに接続せずに起動することで簡単にテストできると想定しています。タスクマネージャは、「アンインストールされたプロセス」という名前でそのプロセスのIDをマスクする場合がありますが、おそらく Process Explorer が真実を教えてくれます。

サーバーのIPアドレスがわかれば、 IP WHOIS Lookup などのwhoisサービスを使用してWebサイトの所有者を特定できます。

0
harrymc