Systemprozess (PID 4) greift ständig auf die Festplatte zu

50

Kürzlich habe ich festgestellt, dass einige unserer Maschinen schwerfällig werden, hauptsächlich nach dem Hochfahren. Bei Verwendung von " Resource MonitorIch habe übermäßigen Plattenzugriff vom Systemprozess mit PID 4 festgestellt". Nach einigen Tipps habe ich das Virenschutzprogramm im Ordner "System Volume Information" deaktiviert, in der Hoffnung, dass es Abhilfe schafft (ich möchte die Systemwiederherstellung nicht deaktivieren).

Es scheint jedoch, dass PID 4 auf alles zugreift . Beim einfachen Extrahieren einer ZIP-Datei kann ich sehen, dass WinRAR einige Hundert KB pro Sekunde aus der Datei liest, PID 4 liest jedoch Dutzende MB pro Sekunde aus derselben Datei. Nachdem der Vorgang abgebrochen wurde, greift PID 4 etwa 30 Sekunden lang auf die Datei zu und liest viele MB pro Sekunde. Dies ist kein Resource Monitor-Fehler, da der Datenträger eindeutig aktiv ist und stoppt, sobald die Ressourcenüberwachung meldet, dass PID 4 endgültig stillsteht.

Warum greift dieser wundersame Prozess auf alles zu, worauf jeder andere Prozess zugreift?

Ich verwende AVG Antivirus. Das Deaktivieren hat dieses Verhalten nicht geändert /

Was geht hier vor sich?

zmbq
quelle
1
PID 4 ist die Prozess-ID für den Windows SYSTEM-Prozess. Tatsächlich ähnelt es PID 1 auf Unix-Systemen. Eine Menge von Dienstleistungen laufen unter PID 4.
sysadmin1138
Laufen Services nicht unter eigenen Prozessen? Wie auch immer, selbst wenn dem so ist, warum werden normale Dateizugriffe in regulären Nicht-Service-Prozessen meistens unter PID 4 durchgeführt?
zmbq
Ich habe das gleiche Problem und kann auch keine Lösung finden. Verwenden Sie zufällig TrueCrypt? Ich verwende die systemweite TrueCrypt-Verschlüsselung und vermute, dass dies die Ursache sein könnte, da sie unter "System" als Treiber ausgeführt wird und bei jedem Dateizugriff verschlüsselt / entschlüsselt werden muss.
Nein, kein TrueCrypt oder irgendeine Form der Verschlüsselung hier.
Zmbq
Verwandte Frage hier: superuser.com/questions/349349/...

Antworten:

28

Dies ist eine ältere Frage, aber ich hatte dieses Problem und für mich war es SuperFetch. Ich habe alles versucht, was ich auf PID 4 finden konnte, und ein Teil davon hat geholfen. Ein RAM-Upgrade von 4 GB auf 8 GB machte das Problem nur noch offensichtlicher - die RAM-Auslastung war gering, kein Paging, aber die Festplatte war nach dem Booten meines Laptops ~ 10 Minuten lang beleuchtet.

Kurz gesagt, es gibt eine Registrierungseinstellung, die steuert, welche SuperFetch-Stufe angemessen ist. Sie können unten sehen, dass der EnableSuperfetch-Wert jetzt auf 1 gesetzt ist. Dies scheint "Prefetch all executables and libraries" zu sein. Der Standardwert ist eine 3, was zu bedeuten scheint, dass alle ausführbaren Dateien, Bibliotheken und Dokumente vorab abgerufen werden. Ich habe viele Dokumente, daher denke ich, dass dies viel zu lange gedauert hat. Jedes geöffnete Dokument ist ein anderes, das SuperFetch "analysieren" muss, um zu sehen, wie Sie es verwenden.

Der betreffende Registrierungsschlüssel / -wert lautet: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch

Bisher ist der einzige Nachteil, dass das Öffnen meiner Outlook-Ordner einige Sekunden länger dauert und einige häufig verwendete Dokumente wie MS Project-Dateien länger dauern. Aber diese Verzögerungen verblassen im Vergleich zu dem Disk-Thrash, den ich vorher hatte!

SuperFetch-Registrierungsschlüssel

drharris
quelle
5
Hier beschriebene
gbjbaanb
hat super funktioniert für mich .. !!
Nirmal-thInk beYond
11

Viele Systemdienste (ich meine nicht Windows-Dienste) laufen unter PID 4, dem "System" -Prozess. Jedes Mal, wenn Sie eine Datei öffnen, lösen Sie eine Reihe von Hintergrundmechanismen aus, z. B. das Zwischenspeichern der Datei durch den virtuellen Speichermanager, das Verschieben anderer Elemente im Speicher, das Beheben von Seitenfehlern usw. Prozess, der ursprünglich auf die Datei zugegriffen hat, z. B. WinRAR.

Trotzdem klingt das, was Sie beschreiben, für mich nicht nach normalem Verhalten. Wenn auf die Datei zugegriffen wird, sollte die Datenträgeraktivität vom Systemprozess schnell ansteigen, und sie sollte dann ziemlich schnell auf 0 zurückgehen - innerhalb weniger Sekunden.

Ich habe auf meinem eigenen Computer mit Windows Resource Monitor ein wenig getestet und ein ähnliches Verhalten festgestellt. Ich denke, wir sind Zeugen des Ressourcenmonitors, der uns eine Art gleitenden Durchschnitt anzeigt, der nur langsam abfällt.

Versuchen Sie, die PID 4-Festplattenaktivität mit einem anderen Tool wie dem Process Explorer von Sysintenals zu untersuchen . Ich habe einen ganz anderen Eindruck davon bekommen, da das Lese-Delta und das Lese-Byte-Delta des Systemprozesses viel schneller auf 0 zurückzukehren scheinen, als wenn sie in ResMon angezeigt werden.


Bearbeiten: Wenn das nicht der Fall ist, dann denke ich, wird eine eingehendere Analyse erforderlich sein, um die Frage zu beantworten. Beispielsweise können Sie die aktuell geladenen Dateisystemfiltertreiber mit fltmc.exe auflisten, und kernrate.exe kann Ihnen dabei helfen, die Module zu isolieren, die eine übermäßig hohe Festplatten-E / A verursachen.

Ryan Ries
quelle
@zmbq: Hast du es geschafft herauszufinden, was los ist?
7

Der Systemprozess wird von Windows Update verwendet. Wenn Sie ausgewählt haben, dass Updates automatisch installiert werden sollen, werden auf Ihren Systemen möglicherweise derzeit Windows-Software installiert. Wenn Sie Windows Update ausführen und versuchen, Updates zu installieren, wird die Meldung angezeigt, dass die Installation nicht möglich ist, da Windows das System derzeit aktualisiert.

Ändern Sie das Windows Update so, dass es nicht ohne manuelle Aktion heruntergeladen und installiert wird, und warten Sie, bis die aktuelle Installation abgeschlossen ist.

Caronte
quelle
1
Das hat bei mir funktioniert. Mein Problem war IE gemacht System (PID4) verwenden 100% des Laufwerks. Das Deaktivieren des automatischen Updates von IE (Hilfe-> Über IE-> Neue Versionen automatisch installieren) hat dieses Problem behoben.
Coomie
@Coomie welche Version von IE hat diese "Funktion"?
MDMoore313
@ MDMoore313 IE 10
Coomie
@Microsoft, Warum sollte sich der IE von Kernel-Mode / Ring0 selbst aktualisieren?
Петър Петров
1

Ich hatte genau die gleichen Symptome. In meinem Fall waren sie mit Norton360 und dem MS-SQL VSS-Dienst verwandt. Nachdem ich VSS deaktiviert hatte, ging meine Aktivität deutlich zurück. Das System stürzt immer noch ab, wenn Norton es tut, aber es ist halbwegs erträglich, da es anscheinend nur stündlich auftritt.

Aggaton
quelle
1

Als ich diese Antwort hier postete, stolperte ich über diesen Thread, als ich nach Antworten suchte, warum der Systemprozess 4 so viele Lese- / Schreibzugriffe verbrauchte.

Benutzer, die Laufwerke zugeordnet haben oder zu einem UNC-Pfad zu einer Freigabe wechseln, insbesondere etwas mit einer Verzeichnisstruktur guter Größe, haben plötzlich eine Tonne kontinuierlichen Empfangsverkehrs vom Hostserver. Normalerweise würde ich 100-300k sehen, sobald Sie im Navigationsfenster expandieren, würde es im Bereich von über 20.000k schießen.

Das Deaktivieren der Option zum automatischen Erweitern auf den aktuellen Ordner im Explorer hat dazu geführt, dass der Datenverkehr wegfällt.

http://www.sevenforums.com/tutorials/1014-navigation-pane-automatically-expand-current-folder.html

ssaviers
quelle
0

Ich hatte ein ähnliches Problem, aber in meinem Fall scheint es, dass irgendwie Offlinedateien aktiviert waren. Ich werde auf der Serverseite Nachforschungen anstellen (z. B. dachte ich, es wäre global über Gruppenrichtlinien und Freigaben deaktiviert ...), aber ich hatte zwei Windows 7-Computer in einem Remote-Büro, die fröhlich versuchten, mehrere Hundert zu synchronisieren GB über eine VPN-Verbindung.

(Vor dem Posten bearbeiten: Offlinedateien wurden auf den Freigaben möglicherweise nach einer Servermigration nicht ordnungsgemäß deaktiviert.

Zaunpfosten
quelle