10
Makecab eskaliert - warum?
Moin,
auf meinem Rechner hatte ich die letzten Tage ein mir bisher unbekanntes Phänomen, das ich mir nicht erklären kann. Das System ist ein Windows 7 auf aktuellem Stand. Es läuft eigentlich immer Teamviewer, Powershell (Version 5.1.14409.1018), Powershell ISE, Firefox (aktuelle Version) mit diversen geöffneten TABs, Ausguck (2013 auf aktuellem Stand), 2x Total Commander (einmal mit Admin-Rechten), Excel, OneNote, VMware Workstation 10 Pro (mindestens eine virtuelle Maschine mit Linux), mehrere RDP-Verbindungen zu Servern. Naja, was man halt so braucht.
Virenscanner ist Avira (jajajaja, ist nicht meine Entscheidung). Das funktioniert auch gut und schnell. Ich hatte aber nach dem Urlaub das Gefühl, dass es ein wenig langsamer wurde. Vor ein paar Tagen meldete mir dann Ausguck, es können die Signatur nicht ändern, weil auf C: kein Platz mehr ist. Also geguckt und tatsächlich, die Partition war vollgelaufen. Der nächste Blick ins TEMP-Verzeichnis ergab ca. 130 Gig Daten im Wesentlichen Dateien, die cab-xxxxx (ohne Endung) hießen. Einige erstaunlich groß. Also weg mit dem Mist.
Gestern ging das wieder los. C: war wieder voll. Wieder waren über 100 Gig solcher Dateien im TEMP-Ordner. Also wieder alle gelöscht und mal im Taskmanager geschaut, was da denn so passiert. Und siehe da, es liefen knapp 200 Prozesse makecab.exe mit SYSTEM als User. Also habe ich die PS angeworfen und die Prozesse alle gekillt. Die Dateien habe ich wieder gelöscht. Kaum war ich damit fertig, fing der Spuk wieder an. Innerhalb weniger Sekunden hatte ich wieder ca. 10 Prozesse und diverse Dateien, sekündlich kamen neue Prozesse hinzu. Also habe ich alles, was lief, beendet. Das änderte nichts. Dann habe ich die Kiste neu gestartet. Sofort fing das wieder an, ohne dass ich irgend ein Programm außer dem TM gestartet hätte. Weil er sowieso ein Update haben wollte, habe ich die Gelegenheit genutzt und die Updates eingespielt. Nach dem Neustart, wurde dann im TM kurz einmal makecab.exe angezeigt. Es wurden fünf Dateien angelegt, vier davon mit 0 byte und eine mit ca. 95 MB. Dann war der Spuk vorbei.
Nun hatte ich das Windows-Update im Verdacht. Aber das ist auf "Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell festlegen" eingestellt. Also sollte er hier keine Dateien anlegen, ohne das ich vorher auf "Mach mal" geklickt habe.
Ich habe auch mal versucht, die Dateien zu öffnen. Aber es gab die Fehlermeldung, dass das Archiv beschädigt wäre. Im Editor war nur kryptischer Binärcode zu sehen. Nichts, was auf das auslösende Programm hinweisen könnte oder darauf, was denn da gepackt wurde.
Kennt jemand das Phänomen, weiß woran es liegt und wie man das vermeidet?
Liebe Grüße
Erik
auf meinem Rechner hatte ich die letzten Tage ein mir bisher unbekanntes Phänomen, das ich mir nicht erklären kann. Das System ist ein Windows 7 auf aktuellem Stand. Es läuft eigentlich immer Teamviewer, Powershell (Version 5.1.14409.1018), Powershell ISE, Firefox (aktuelle Version) mit diversen geöffneten TABs, Ausguck (2013 auf aktuellem Stand), 2x Total Commander (einmal mit Admin-Rechten), Excel, OneNote, VMware Workstation 10 Pro (mindestens eine virtuelle Maschine mit Linux), mehrere RDP-Verbindungen zu Servern. Naja, was man halt so braucht.
Virenscanner ist Avira (jajajaja, ist nicht meine Entscheidung). Das funktioniert auch gut und schnell. Ich hatte aber nach dem Urlaub das Gefühl, dass es ein wenig langsamer wurde. Vor ein paar Tagen meldete mir dann Ausguck, es können die Signatur nicht ändern, weil auf C: kein Platz mehr ist. Also geguckt und tatsächlich, die Partition war vollgelaufen. Der nächste Blick ins TEMP-Verzeichnis ergab ca. 130 Gig Daten im Wesentlichen Dateien, die cab-xxxxx (ohne Endung) hießen. Einige erstaunlich groß. Also weg mit dem Mist.Gestern ging das wieder los. C: war wieder voll. Wieder waren über 100 Gig solcher Dateien im TEMP-Ordner. Also wieder alle gelöscht und mal im Taskmanager geschaut, was da denn so passiert. Und siehe da, es liefen knapp 200 Prozesse makecab.exe mit SYSTEM als User. Also habe ich die PS angeworfen und die Prozesse alle gekillt. Die Dateien habe ich wieder gelöscht. Kaum war ich damit fertig, fing der Spuk wieder an. Innerhalb weniger Sekunden hatte ich wieder ca. 10 Prozesse und diverse Dateien, sekündlich kamen neue Prozesse hinzu. Also habe ich alles, was lief, beendet. Das änderte nichts. Dann habe ich die Kiste neu gestartet. Sofort fing das wieder an, ohne dass ich irgend ein Programm außer dem TM gestartet hätte. Weil er sowieso ein Update haben wollte, habe ich die Gelegenheit genutzt und die Updates eingespielt. Nach dem Neustart, wurde dann im TM kurz einmal makecab.exe angezeigt. Es wurden fünf Dateien angelegt, vier davon mit 0 byte und eine mit ca. 95 MB. Dann war der Spuk vorbei.
Nun hatte ich das Windows-Update im Verdacht. Aber das ist auf "Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell festlegen" eingestellt. Also sollte er hier keine Dateien anlegen, ohne das ich vorher auf "Mach mal" geklickt habe.
Ich habe auch mal versucht, die Dateien zu öffnen. Aber es gab die Fehlermeldung, dass das Archiv beschädigt wäre. Im Editor war nur kryptischer Binärcode zu sehen. Nichts, was auf das auslösende Programm hinweisen könnte oder darauf, was denn da gepackt wurde.
Kennt jemand das Phänomen, weiß woran es liegt und wie man das vermeidet?
Liebe Grüße
Erik
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 479151
Url: https://administrator.de/contentid/479151
Printed on: April 20, 2024 at 01:04 o'clock
10 Comments
Latest comment
Hi,
schau mal parallel, wie der Ordner C:\Windows\Logs\CBS aussieht. Ist der Ordner auch groß und zugemüllt?
Wenn ja, beende den Trusted Installer Service, mach den Ordner leer, starte den Trusted Installer Service, und lass einen sfc /scannow laufen.
Danach dann die ganzen CAB-Dateien löschen.
schau mal parallel, wie der Ordner C:\Windows\Logs\CBS aussieht. Ist der Ordner auch groß und zugemüllt?
Wenn ja, beende den Trusted Installer Service, mach den Ordner leer, starte den Trusted Installer Service, und lass einen sfc /scannow laufen.
Danach dann die ganzen CAB-Dateien löschen.
Das dürfte helfen:
Ich habe hier auch ab und an Clients mit dem Problem.
Manche behaupten das passiert bei Clients die längere Zeit nicht benutzt werden. Diese Theorie kann ich aber nicht bestätigen. Bei uns laufen mit Ausnahme von Urlaub alle Clients täglich zig Stunden.
Manuel
net stop TrustedInstaller
net stop wuauserv
del C:\Windows\Temp\cab*
del C:\Windows\logs\CBS\*.cab
del C:\Windows\logs\CBS\*.log
net start wuauserv
net start TrustedInstaller
pauseManche behaupten das passiert bei Clients die längere Zeit nicht benutzt werden. Diese Theorie kann ich aber nicht bestätigen. Bei uns laufen mit Ausnahme von Urlaub alle Clients täglich zig Stunden.
Manuel
Moin,
Naja, da ist so einiges drin. Ca. 8 Gig seit Ende 2017. Das größte Log (knapp 2 Gig) ist das Ende 2017. Da wurde der Rechner neu aufgesetzt. Ist also m. E. normal. Die letzten Einträge von heute sehen auch normal aus. Das Log ist ca. 8MB groß.
sfc hat allerdings einiges repariert. Schaun wir mal, was jetzt alles nicht mehr rund läuft. Jetzt steht auch ziemlich viel im CBS-Log, was denn so alles hin- und hergeschoben wurde.
Danke Dir.
Liebe Grüße
Erik
Zitat von @chgorges:
Hi,
schau mal parallel, wie der Ordner C:\Windows\Logs\CBS aussieht. Ist der Ordner auch groß und zugemüllt?
Hi,
schau mal parallel, wie der Ordner C:\Windows\Logs\CBS aussieht. Ist der Ordner auch groß und zugemüllt?
Naja, da ist so einiges drin. Ca. 8 Gig seit Ende 2017. Das größte Log (knapp 2 Gig) ist das Ende 2017. Da wurde der Rechner neu aufgesetzt. Ist also m. E. normal. Die letzten Einträge von heute sehen auch normal aus. Das Log ist ca. 8MB groß.
sfc hat allerdings einiges repariert. Schaun wir mal, was jetzt alles nicht mehr rund läuft.
Jetzt steht auch ziemlich viel im CBS-Log, was denn so alles hin- und hergeschoben wurde.Danke Dir.
Liebe Grüße
Erik
Moin,
Das könnte schon sein. Der Rechner läuft eigentlich auch 24h/d. Aber ich war ja jetzt gerade zwei Wochen im Urlaub und der Rechner deshalb aus. Im CBS-Ordner sind übrigens keine *.cab zu finden.
Liebe Grüße
Erik
Zitat von @manuel-r:
Ich habe hier auch ab und an Clients mit dem Problem.
Manche behaupten das passiert bei Clients die längere Zeit nicht benutzt werden. Diese Theorie kann ich aber nicht bestätigen. Bei uns laufen mit Ausnahme von Urlaub alle Clients täglich zig Stunden.
Ich habe hier auch ab und an Clients mit dem Problem.
Manche behaupten das passiert bei Clients die längere Zeit nicht benutzt werden. Diese Theorie kann ich aber nicht bestätigen. Bei uns laufen mit Ausnahme von Urlaub alle Clients täglich zig Stunden.
Das könnte schon sein. Der Rechner läuft eigentlich auch 24h/d. Aber ich war ja jetzt gerade zwei Wochen im Urlaub und der Rechner deshalb aus. Im CBS-Ordner sind übrigens keine *.cab zu finden.
Liebe Grüße
Erik
Ich danke Euch. Nur noch eine Frage: Tritt das auch bei Windows 10 auf?
Nur noch eine Frage: Tritt das auch bei Windows 10 auf?
Habe ich bisher noch nicht festgestellt.
Danke
Bisher nicht, hatte diese Kuriosität auch nur unter Win 7.
Ich hatte das Problem vor kurzen 2x
1x im Win Server 2019 Standard und 1x im Win 10 Pro (Systeme sind in der gleichen Domäne), ich hoffe das die anderen Rechner (25) verschont bleiben.
Nach einem Mysteriösen Neustart war alles wieder normal.
LG
1x im Win Server 2019 Standard und 1x im Win 10 Pro (Systeme sind in der gleichen Domäne), ich hoffe das die anderen Rechner (25) verschont bleiben.
Nach einem Mysteriösen Neustart war alles wieder normal.
LG
Zitat von @0815Cracky:
Ich hatte das Problem vor kurzen 2x
1x im Win Server 2019 Standard und 1x im Win 10 Pro (Systeme sind in der gleichen Domäne), ich hoffe das die anderen Rechner (25) verschont bleiben.
Nach einem Mysteriösen Neustart war alles wieder normal.
Ich hatte das Problem vor kurzen 2x
1x im Win Server 2019 Standard und 1x im Win 10 Pro (Systeme sind in der gleichen Domäne), ich hoffe das die anderen Rechner (25) verschont bleiben.
Nach einem Mysteriösen Neustart war alles wieder normal.
Dann kommt das doch in unsere interne Doku.
Danke.
1
