系统进程（PID 4）不断访问硬盘

50

最近，我注意到我们的某些机器速度缓慢，主要是在启动后。使用Resource MonitorI，我从系统进程中使用PID 4检测到过多的磁盘访问。遵循一些技巧，我在System Volume Information文件夹上禁用了防病毒软件，希望它会有所帮助（我不想禁用系统还原）。

但是，似乎PID 4正在访问所有内容。运行ZIP文件的简单提取时，我可以看到WinRAR每秒从文件读取数百KB，但是PID 4每秒从同一文件读取数十MB。取消操作后，PID 4会继续访问文件约30秒钟，每秒读取许多MB。这不是资源监视器错误，因为磁盘明显处于活动状态，并且一旦资源监视器显示PID 4最终处于静止状态就停止。

为什么这个神奇的进程访问所有其他进程访问的所有内容？

我正在使用AVG防病毒软件。禁用它不会更改此行为/

这里发生了什么？

windows-7

— mb
source

1

PID 4是Windows SYSTEM进程的进程ID。实际上，它很像Unix系统上的PID 1。一个很多下PID 4.运行服务

— sysadmin1138

服务不是在自己的流程下运行吗？无论如何，即使是这样，为什么在常规非服务过程中对普通文件的访问大多是在PID 4下完成的呢？

— zmbq 2012年

我有同样的问题，也找不到任何解决方案。您有机会使用TrueCrypt吗？我在系统范围内使用TrueCrypt加密，我怀疑这可能是原因，因为它作为驱动程序在“系统”下运行，并且需要加密/解密每个文件访问权限。

不，这里没有TrueCrypt或任何形式的加密。

— 2012年

相关的问题在这里：superuser.com/questions/349349/...

28

这是一个较旧的问题，但是我遇到了这个问题，对我来说，这是SuperFetch。我尝试了在PID 4上可以找到的所有使用过量硬盘的方法，其中一些方法有所帮助。从4GB的RAM升级到8GB只会使问题更加明显-RAM使用率很低，没有分页，但是在笔记本电脑启动后，硬盘驱动器却点亮了约10分钟。

长话短说，有一个注册表设置可以控制什么级别的SuperFetch适用。您可以在下面看到EnableSuperfetch值现在设置为1，这似乎是“预取所有可执行文件和库”。默认值为3，这似乎意味着“预取所有可执行文件，库和文档”。我有很多文档，所以我认为这花了太长时间。打开的每个文档都是SuperFetch必须“分析”的另一个文档，以查看您的使用方式。

有问题的注册表项/值是： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch

到目前为止，唯一的缺点是我的Outlook文件夹需要花费几秒钟的时间才能打开，而某些常用文档（例如MS Project文件）则需要更长的时间。但是与我之前遇到的磁盘崩溃相比，这些延迟显得微不足道！

SuperFetch注册表项

— 德拉里斯
source

5

这里描述的

— gbjbaanb

对我来说很棒。

— NirmalthInk，2013年

11

许多系统服务（我不是说Windows服务）都在PID 4（“系统”进程）下运行。每次打开文件时，都会触发一系列后台机制，例如虚拟内存管理器将文件缓存在内存中，在内存中移动其他内容，为页面错误提供服务等。该活动与针对最初访问文件的进程，例如WinRAR。

就是说，您所描述的内容对我而言仍不像正常行为。访问该文件后，您应该会从系统进程中看到磁盘活动快速增加，然后它应该很快恢复到0 －在几秒钟之内。

我使用Windows资源监视器在自己的计算机上进行了一些测试，并且看到了一些类似的行为。我认为我们正在目睹的是Resource Monitor，它向我们显示了某种缓慢下降的滚动平均值。

尝试使用Sysintenals的Process Explorer等其他工具查看PID 4磁盘活动。我有一个非常不同的印象从它，因为读三角洲和读取字节三角洲系统进程似乎回到0 多通过ResMon查看时速度更快。

编辑：如果不是，那么我认为需要更深入的分析才能回答这个问题。例如，您可以使用fltmc.exe列出当前加载的文件系统过滤器驱动程序，而kernrate.exe可以帮助您隔离导致磁盘I / O过多的模块。

— 瑞安·里斯（Ryan Ries）
source

@zmbq：您是否设法找出正在发生的事情？

7

Windows Update使用系统进程。如果您选择自动安装更新，则可能是您的系统当前正在安装Windows软件。如果您运行Windows Update并尝试安装更新，则会收到一条消息，提示您无法安装，因为Windows当前正在更新系统。

将Windows Update更改为没有手动操作就不下载和安装，然后等待当前安装完成。

— 卡龙特
source

1

这对我有用。我的问题是IE使系统（PID4）使用了100％的驱动器。关闭IE的自动更新（帮助->关于IE->自动安装新版本）修复了该问题。

— 库米

@Coomie哪个版本的IE具有此功能？

— MDMoore313

@ MDMoore313 IE 10

— Coomie

@Microsoft，为什么IE会从kernel-mode / ring0本身升级？

— ПетърПетров

1

我有完全相同的症状。就我而言，它们与Norton360和MS-SQL VSS服务有关。一旦禁用VSS，我的活动就会大大下降。当诺顿这样做时，系统仍会锁定，但是它可以忍受，因为它似乎只在每小时发生一次。

— 阿加顿
source

1

当我在寻找有关为什么系统进程4消耗大量读/写流量的答案时偶然发现了该线程时，将其发布在此处。

用户在映射驱动器或进入共享的UNC路径时，尤其是具有良好目录结构的用户，突然会从主机服务器连续接收大量流量。通常情况下，我会看到100-300k，一旦您在导航窗格中展开，它就会在20,000k以上的范围内猛增。

最终在资源管理器中禁用了“自动扩展到当前文件夹”选项，流量消失了。

http://www.sevenforums.com/tutorials/1014-navigation-pane-automatically-expand-current-folder.html

— 救星
source

0

我有一个类似的问题，但是就我而言，似乎以某种方式启用了脱机文件。我将在服务器端进行调查（例如，我认为它已通过组策略和共享在全球范围内禁用.....），但我在远程办公室有两台Windows 7计算机，试图同步几百个通过VPN连接的GB。

（发布前进行编辑：可能未进行服务器迁移，因此未正确禁用共享上的脱机文件。

— 围栏
source