一些 Windows 客户联系我们询问有关神秘应用程序 UsoCoreWorker.exe 的问题。虽然一些用户在他们的 PC 无故从睡眠或休眠状态唤醒后注意到它,但其他用户声称在他们的 PC 无明显原因从睡眠或休眠状态唤醒后在任务管理器中看到它。该可执行文件似乎存在于 Windows 7、Windows 8.1 和 Windows 10 上。
什么是 UsoCoreWorker.exe,它有什么作用?
USOCoreWorker.exe是一个可能不时出现在您的事件查看器的事件列表中的进程。
Windows 10 使用名为USOCoreWorker.exe 的进程来查找更新。
注意:操作系统也使用此技术在您的计算机上安装最新的更新和修复程序。
USO是Update Session Orchestrator的缩写。较新的 Windows 10 操作系统版本不使用 Windows 更新客户端,而是使用更新会话协调器。换句话说,USOCoreWorker.exe 是新的 Windows 更新客户端。
这是一个合法的系统文件,自然会在您的系统文件中找到,并且在任务管理器中完全正常。
UsoCoreWorker.exe 安全吗?
虽然真正的 USOCoreWorker.exe 不是安全问题,但用户报告说它的行为方式与广告软件应用程序类似。尽管如此,在您调查并发现您正在处理伪装的恶意软件之前,这不是引起警报的原因。
随着 Windows 版本变得更加安全,为了进入计算机,恶意软件作者别无选择,只能将其可执行文件伪装成具有更高权限的真实文件。这就是为什么仔细检查以确保您没有处理伪装成合法 USOCoreWorker.exe 的病毒是至关重要的。
为了完全防止病毒感染的可能性,您必须执行一些程序。
首先,您需要考虑您在任务管理器中看到的进程的位置。
按Ctrl + Shift + Esc打开任务管理器 ,确保打开专家界面而不是简单界面。如果默认打开简单界面, 请单击 “更多详细信息” 。
最终进入任务管理器后,从顶部菜单(如果您使用的是 Windows 11,则展开侧面菜单)中展开进程选项卡,然后循环浏览活动进程,直到找到 UsoCoreWorker.exe进程。
UsoCoreWorker.exe进程的真实位置是:
C:\Windows\System32
如果你的情况不同并且进程位于不同的位置,你应该认真考虑你实际处理恶意可执行文件的场景。
如果UsoCoreWorker.exe位于可疑位置,我们的建议是将文件(按原样)上传到病毒库(如 VirusTotal)以验证它是否是恶意的。
为此,只需访问 VirusTotal 的主页,上传可疑的 UsoCoreWorker.exe 文件,然后等待分析完成。
如果您刚刚部署的分析显示病毒感染的证据,请继续下面的下一节,我们将探讨如何处理 UsoCoreWorker.exe 文件受感染的情况。
处理受感染的 UsoCoreWorker.exe 文件
如果上述调查表明文件不在有效位置,并且 VirusTotal 分析提示怀疑病毒感染,我们强烈建议您安装能够识别和处理每个感染文件的安全扫描程序。
请记住,您可能正在与具有伪装能力的恶意软件打交道——众所周知,这些恶意软件难以检测,因为并非所有安全套件都能够检测和隔离它们。如果您之前购买过高级安全扫描仪,则可以使用它来运行扫描。
但是,如果您正在寻找免费选项,Malwarebytes 是一个不错的选择。
Malwarebytes提供免费的深度扫描,可以发现并根除绝大多数隐藏在具有提升权限的进程后面的恶意软件。如果您不确定如何完成它,请阅读这篇文章(此处)。
如果扫描识别并隔离了恶意对象,请重新启动您的计算机并检查 UsoCoreWorker.exe 是否仍列在以下部分的资源使用过多的任务管理中。
我应该删除 UsoCoreWorker.exe 吗?
如果上述检查未发现安全问题,您可以确定您正在处理的可执行文件是合法的。使用任务管理器 (Ctrl + Shift + Esc),查看程序是否仍然需要大量系统资源。
如果同样的问题(高资源利用率或从休眠中随机唤醒)仍然存在,请记住您将无法卸载该程序,因为它是您操作系统的一部分。
相反,您可以采取必要的措施来防止 UsoCoreWorker.exe 将您的电脑从睡眠模式唤醒。
为此,请使用下面列出的技术。
如何防止UsoCoreWorker.exe唤醒PC
UsoCoreWorker.exe 进程将您的电脑从休眠状态唤醒的最可能原因是它无法确定更新状态。
这很可能就是它反复将 PC 从睡眠模式唤醒的原因。它一次又一次地尝试但失败了。
注意:请务必注意,单击“检查更新”按钮将在后台启动USOCoreWorker.exe进程。
但是,根据许多受影响的用户的说法,可以通过从提升的 CMD 提示符中强制发出powercfg 请求来解决这个问题——这将允许您从本质上重新启动 Windows 更新服务,而无需任何先前从启动到启动的永久请求。
这是您需要做的:
- 按Windows 键 + R打开“运行”对话框。
- 接下来,在文本框中键入“ cmd” ,然后按Ctrl + Shift + Enter打开提升的命令提示符。
- 当用户帐户控制 (UAC) 提示您时,单击是以授予管理员访问权限。
- 进入提升的命令提示符后,键入以下命令并按Enter 键执行它:
powercfg /请求
- 查看列出的服务。如果您看到 UsoCoreWorker.exe 在 CMD 屏幕上的任何位置列出,那是因为 Windows 更新正在积极使用它。
- 要临时纠正此问题,请打开服务(在“运行”对话框中键入“services.msc” ),右键单击“Windows 更新”,然后单击“重新启动”。
- 接下来,重新运行上面的 Power Config 命令并检查 UsoCoreWorker.exe 的提及现在是否已删除。