コンピュータの電源を入れるたびにネットワークを使用する不可解な「アンインストールされたプロセス」

私はデュアルブートWindows 10 / Ubuntuラップトップを携帯していて、WiFiへのアクセスがかなり制限されていることがよくあります。Windows側で起動した場合（またはしばらく眠った後、スリープから復帰した場合）、予想よりもネットワークパフォーマンスが低下することがよくあります。

タスクマネージャーを開くと、「アプリの履歴」を介して、「アンインストールされたプロセス」と呼ばれるものが、通常、起動後数分間ネットワークを停止していることがわかります。"ペグ"とは、継続的にダウンロードしようとしている他の開いているものと一緒に、ネットワークの使用がロックステップで増加することを意味します。通常は数分後に静かになりますが、アクティブなときは非常に迷惑です。私の電話につながれている間、それはもっと悪いです。それ以来、私はこの活動のために本当のお金を払っています。

以下は、ウェイクアップし、「使用履歴の削除」を使用してすべてのカウンターをゼロにした後の「アプリ履歴」リストの典型的なショットです。

これは、「アンインストールされたプロセス」がネットワークの使用を停止した後のしばらくの時間ですが、最初はスリープ解除後に、最高のネットワーク使用プロセスに関連付けられていました。

これは新しいボックスであり、私はおそらくその上にダースのものをアンインストールしましたが、最近はどれもインストールされておらず、最後の再インストール以降、多くの再起動が行われています。

この不正なプロセスを追跡する方法についてのヒントは、私はかなり必死です。

コメントでharrymcによってリンクされたフォレンジックプレゼンテーションで言及したように、Uninstalled processesエントリは、ディスク上の実行可能ファイルが検出されなくなったプロセスの統計の合計です。そのプレゼンテーションのスライド17に示されているように、Windowsシステムリソース使用状況モニターは、完全なオブジェクトマネージャー名（デスクトップアプリの場合）、サービス名（サービスの場合）、またはWindowsストアアプリケーションID によってプログラムを識別します。 。

タスクマネージャーは、すべてのエントリのアプリケーションタイトルを表示しようとしますが、その情報はSRUMデータベースに保存されません-実行可能ファイルのプロパティにのみあります。理論は、タスクマネージャーがプログラムのEXEを見つけられない場合、統計をアンインストールされたプロセスにまとめることです。その理論は科学を使って検証できます！1つのシステムリソースを多く使用するお気に入りのポータブルプログラムをダウンロードします（例：Procmon。フィルターをかけずに少しだけ実行すると、CPU時間を消費します）。タスクマネージャーアカウンティングのエントリに注意してください。次に、テストプログラムを閉じて削除/移動し、タスクマネージャを再度開きます。使用されたリソースがUninstalled processesエントリに追加されました。

タスクマネージャーは、プログラムが存在しないだけでなく、何らかの理由でアクセスできない場合、プログラムが「アンインストールされた」と見なす場合があることに注意してください。その場合、アクティビティを担当するプログラムは、管理者でもアクセスできないシステムディレクトリに配置されます（デフォルト）。プロセスエクスプローラーを使用すると、詳細情報を取得できます。

したがって、ネットワークの使用は、タスクマネージャーを実行するときに見つからないプログラムによって行われています。これはほぼ確実に、別のEXE（例：更新チェッカープログラム）をダンプまたは抽出し、そのEXEを実行して、終了後に削除するデスクトップアプリケーションが原因です。何が行われているのかを理解するには、（プレゼンテーションで説明されているように）SRUMデータベースを直接解析するか、Procmonのブートログ機能を使用するか、Autorunsで自動起動アプリケーションの一部を無効にしてみてください。

これらのプロセスはWindowsの大きな謎の1つであり、すべてが文書化されているわけではありません。これは憶測への扉を開きます。私にとって、Microsoftが話したくないWindows 10の一部を含む文書化されていない韻。

これらのプロセスの1つの定義は、このフォレンジックプレゼンテーションSRUMフォレンジックで見つかり ます。

「アンインストールされたプロセス」は、すべてディスク上の（元の場所に）存在しないプログラムです

ディスク上にしなくなったプログラムは、ネットワーク活性を有するのはもはや可能ではないので、このネットワークアクティビティがあることを理由に立っている程度ではなくにより、これらのアンインストールのプロセス、およびそれを行うの影響を受けやすい唯一のエンティティは、Windowsであるかのいずれかのその文書化が不十分でプライバシーが侵害されていることで知られているテレメトリーを主なコンポーネントとしています。

Windows 10テレメトリーシークレットの記事は、テレメトリーを定義しています。

マイクロソフトでは、テレメトリを「コネクテッドユーザーエクスペリエンスとテレメトリコンポーネントによってアップロードされるシステムデータ」と定義しています。これは、ユニバーサルテレメトリクライアントまたはUTCサービスとも呼ばれます。（これについては後ほど詳しく説明します。）

マイクロソフトは、Windows 10のテレメトリデータを使用して、セキュリティと信頼性の問題を特定し、ソフトウェアの問題を分析して修正し、Windowsと関連サービスの品質を向上させ、将来のリリースの設計を決定します。

私の理論では、これはWindowsがアンインストールされたプロセスのIDを秘密のテレメトリサーバーに通信しようとしているというものです。または、Windows Defender（現在はWindowsの壊れない部分）がこれらのプロセスに関する情報を伝えようとしているのかもしれません。

[設定]-> [更新とセキュリティ]-> [Windows Defender]ですべてを無効にして、2回再起動してこれが消えるかどうかを確認します。ただし、Windows 10は完全に停止できないテレメトリで知られています。

これで問題が解決しない場合は、TCPViewなどの製品を使用して、 この通信が行われるサーバーのIPアドレスを見つけてください。ここでは、ネットワークアクティビティはインターネットに対するものであり、インターネットに接続せずに起動することで簡単にテストできると想定しています。タスクマネージャーは、「アンインストールされたプロセス」の名前でそのプロセスのIDをマスクする場合がありますが、プロセスエクスプローラーが本当のことを言う場合があります。

サーバーのIPアドレスがわかったら、IP WHOIS Lookupなどのwhoisサービスを使用して、Webサイトの所有者を特定できます。