Makecab eskaliert - warum?

erikro
Goto Top
Moin,

auf meinem Rechner hatte ich die letzten Tage ein mir bisher unbekanntes Phänomen, das ich mir nicht erklären kann. Das System ist ein Windows 7 auf aktuellem Stand. Es läuft eigentlich immer Teamviewer, Powershell (Version 5.1.14409.1018), Powershell ISE, Firefox (aktuelle Version) mit diversen geöffneten TABs, Ausguck (2013 auf aktuellem Stand), 2x Total Commander (einmal mit Admin-Rechten), Excel, OneNote, VMware Workstation 10 Pro (mindestens eine virtuelle Maschine mit Linux), mehrere RDP-Verbindungen zu Servern. Naja, was man halt so braucht. face-wink Virenscanner ist Avira (jajajaja, ist nicht meine Entscheidung). Das funktioniert auch gut und schnell. Ich hatte aber nach dem Urlaub das Gefühl, dass es ein wenig langsamer wurde. Vor ein paar Tagen meldete mir dann Ausguck, es können die Signatur nicht ändern, weil auf C: kein Platz mehr ist. Also geguckt und tatsächlich, die Partition war vollgelaufen. Der nächste Blick ins TEMP-Verzeichnis ergab ca. 130 Gig Daten im Wesentlichen Dateien, die cab-xxxxx (ohne Endung) hießen. Einige erstaunlich groß. Also weg mit dem Mist.

Gestern ging das wieder los. C: war wieder voll. Wieder waren über 100 Gig solcher Dateien im TEMP-Ordner. Also wieder alle gelöscht und mal im Taskmanager geschaut, was da denn so passiert. Und siehe da, es liefen knapp 200 Prozesse makecab.exe mit SYSTEM als User. Also habe ich die PS angeworfen und die Prozesse alle gekillt. Die Dateien habe ich wieder gelöscht. Kaum war ich damit fertig, fing der Spuk wieder an. Innerhalb weniger Sekunden hatte ich wieder ca. 10 Prozesse und diverse Dateien, sekündlich kamen neue Prozesse hinzu. Also habe ich alles, was lief, beendet. Das änderte nichts. Dann habe ich die Kiste neu gestartet. Sofort fing das wieder an, ohne dass ich irgend ein Programm außer dem TM gestartet hätte. Weil er sowieso ein Update haben wollte, habe ich die Gelegenheit genutzt und die Updates eingespielt. Nach dem Neustart, wurde dann im TM kurz einmal makecab.exe angezeigt. Es wurden fünf Dateien angelegt, vier davon mit 0 byte und eine mit ca. 95 MB. Dann war der Spuk vorbei.

Nun hatte ich das Windows-Update im Verdacht. Aber das ist auf "Nach Updates suchen, aber Zeitpunkt zum Herunterladen und Installieren manuell festlegen" eingestellt. Also sollte er hier keine Dateien anlegen, ohne das ich vorher auf "Mach mal" geklickt habe.

Ich habe auch mal versucht, die Dateien zu öffnen. Aber es gab die Fehlermeldung, dass das Archiv beschädigt wäre. Im Editor war nur kryptischer Binärcode zu sehen. Nichts, was auf das auslösende Programm hinweisen könnte oder darauf, was denn da gepackt wurde.

Kennt jemand das Phänomen, weiß woran es liegt und wie man das vermeidet?

Liebe Grüße

Erik

Content-Key: 479151

Url: https://administrator.de/contentid/479151

Ausgedruckt am: 15.08.2022 um 19:08 Uhr

Mitglied: chgorges
Lösung chgorges 30.07.2019 um 12:12:43 Uhr
Goto Top
Hi,

schau mal parallel, wie der Ordner C:\Windows\Logs\CBS aussieht. Ist der Ordner auch groß und zugemüllt?

Wenn ja, beende den Trusted Installer Service, mach den Ordner leer, starte den Trusted Installer Service, und lass einen sfc /scannow laufen.

Danach dann die ganzen CAB-Dateien löschen.
Mitglied: manuel-r
Lösung manuel-r 30.07.2019 um 12:38:07 Uhr
Goto Top
Das dürfte helfen:
Ich habe hier auch ab und an Clients mit dem Problem.
Manche behaupten das passiert bei Clients die längere Zeit nicht benutzt werden. Diese Theorie kann ich aber nicht bestätigen. Bei uns laufen mit Ausnahme von Urlaub alle Clients täglich zig Stunden.

Manuel
Mitglied: erikro
erikro 30.07.2019 um 12:44:27 Uhr
Goto Top
Moin,

Zitat von @chgorges:

Hi,

schau mal parallel, wie der Ordner C:\Windows\Logs\CBS aussieht. Ist der Ordner auch groß und zugemüllt?

Naja, da ist so einiges drin. Ca. 8 Gig seit Ende 2017. Das größte Log (knapp 2 Gig) ist das Ende 2017. Da wurde der Rechner neu aufgesetzt. Ist also m. E. normal. Die letzten Einträge von heute sehen auch normal aus. Das Log ist ca. 8MB groß.

sfc hat allerdings einiges repariert. Schaun wir mal, was jetzt alles nicht mehr rund läuft. face-wink Jetzt steht auch ziemlich viel im CBS-Log, was denn so alles hin- und hergeschoben wurde.

Danke Dir.

Liebe Grüße

Erik
Mitglied: erikro
erikro 30.07.2019 um 12:46:40 Uhr
Goto Top
Moin,

Zitat von @manuel-r:
Ich habe hier auch ab und an Clients mit dem Problem.
Manche behaupten das passiert bei Clients die längere Zeit nicht benutzt werden. Diese Theorie kann ich aber nicht bestätigen. Bei uns laufen mit Ausnahme von Urlaub alle Clients täglich zig Stunden.

Das könnte schon sein. Der Rechner läuft eigentlich auch 24h/d. Aber ich war ja jetzt gerade zwei Wochen im Urlaub und der Rechner deshalb aus. Im CBS-Ordner sind übrigens keine *.cab zu finden.

Liebe Grüße

Erik
Mitglied: erikro
erikro 30.07.2019 um 13:25:51 Uhr
Goto Top
Ich danke Euch. Nur noch eine Frage: Tritt das auch bei Windows 10 auf?
Mitglied: manuel-r
manuel-r 30.07.2019 um 13:28:43 Uhr
Goto Top
Nur noch eine Frage: Tritt das auch bei Windows 10 auf?

Habe ich bisher noch nicht festgestellt.
Mitglied: erikro
erikro 30.07.2019 um 13:30:05 Uhr
Goto Top
Danke
Mitglied: chgorges
chgorges 30.07.2019 aktualisiert um 13:50:15 Uhr
Goto Top
Bisher nicht, hatte diese Kuriosität auch nur unter Win 7.
Mitglied: 0815Cracky
0815Cracky 30.07.2019 um 14:30:09 Uhr
Goto Top
Ich hatte das Problem vor kurzen 2x
1x im Win Server 2019 Standard und 1x im Win 10 Pro (Systeme sind in der gleichen Domäne), ich hoffe das die anderen Rechner (25) verschont bleiben.
Nach einem Mysteriösen Neustart war alles wieder normal.

LG
Mitglied: erikro
erikro 30.07.2019 um 14:38:44 Uhr
Goto Top
Zitat von @0815Cracky:

Ich hatte das Problem vor kurzen 2x
1x im Win Server 2019 Standard und 1x im Win 10 Pro (Systeme sind in der gleichen Domäne), ich hoffe das die anderen Rechner (25) verschont bleiben.
Nach einem Mysteriösen Neustart war alles wieder normal.

Dann kommt das doch in unsere interne Doku. face-wink Danke.