peterha
Goto Top

SVCHOST.EXE schreibt Festplatte komplett voll

Moin zusammen,

ich habe mir in diesem Falle privat einen PC zusammengebaut.
-> "i7-4790K, 4x 4.0 Ghz, 32GB DDR3 1600 MHZ RAM, 250GB SSD, 2000GB HDD, 22x DVD Brenner, 4096MB AMD Radeon R9 290"

Darauf habe ich Windows 8.1 x64 installiert. Windows hat alle Updates und alle Treiber. Dazu habe ich diverse Tools installiert. (Bildbearbeitung, Putty, Acronis, Avast IS, Videoanimation, VLC, etc. Sicher 50 Tools, alle aus offiziellen Quellen.)

Problem:
Gestern Abend, ich war immer noch dabei, sehe ich plötzlich, dass die SSD nur noch 3 GB statt 130 frei hat. Jede Sekunde wurden es 40-50 MB weniger. Nicht lange gesucht, kurzerhand zurückgeimaget mit Acronis. Nach 30 min das selbe Problem wieder. Festplatte schreibt voll. Bis aufs letzte Bit.

Im Taskmanager sah ich, nun, dass der svchost.exe fleißig schreibt. Wenn ich das ganze aber in Treesize angucke, sagt es, dass 81 GB belegt sind. Die Festplatte scheint aber wirklich voll zu sein, kann keine Datei erstellen. Da Treesize die Dateien nicht sieht, weiß ich nun nicht, wo ich gucken soll, was das für Dateien überhaupt sind?

Hier 3 Screenshots in einem Bild: https://www.dropbox.com/s/lyk31gyj4486e39/pcneu.jpg?dl=0

Habt ihr eine Idee was das ist? Ich werde nachher einen Scan mit einer Live CD von AVG machen, aber ich bin sicher, dass ich mir nichts eingefangen habe.

Wie kann ich herausbekommen, wer der Verursacher ist, der die svchost schreiben lässt?
Hier, was Process Explorer sieht: https://www.dropbox.com/s/dt83bkazr8aelk0/processes.jpg?dl=0
(Dieser Screenshot wurde allerdings aufgenommen, als die Platte bereits voll war...)

Danke für eure Hilfe und den Input.
Peter

Content-ID: 259931

Url: https://administrator.de/contentid/259931

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

sk-it83
sk-it83 15.01.2015 um 12:51:20 Uhr
Goto Top
Hi,

klingt nach Virus oder so.

Kannst das mal testen:

http://www.tecchannel.de/sicherheit/tools/2039955/mit_gratis_tool_svcho ...

VG
Roadrunner0815
Roadrunner0815 15.01.2015 um 12:55:21 Uhr
Goto Top
DerWoWusste
Lösung DerWoWusste 15.01.2015 aktualisiert um 14:57:54 Uhr
Goto Top
Hallo!

Ein paar Ansätze:
-Finde raus, wohin geschrieben wird, das zeigt schon der resmon, spätestens aber procmon.
-Finde raus, zu welchem Dienst die svchost.exe gehört - kann auch der Taskmanager per Kontextmenü sagen
-um mit treesize die korrekten Werte zu kriegen, muss der Nutzer, der treesize ausführt, die Rechte dazu haben, alle Ordner zu öffnen - logisch, oder? Deshalb nimmt man am besten das Systemkonto:
psexec -s -i treesize.exe
matthew77
matthew77 15.01.2015 um 13:10:53 Uhr
Goto Top
Hi,

mit "process Explorer" kannst du wenigstens herausfinden, welche Prozesse sich hinter svchost.exe verbergen :
http://www.heise.de/download/process-explorer.html

Gruß
mat
peterha
peterha 15.01.2015 um 14:23:27 Uhr
Goto Top
Moin, habe das Dinge gerade drübergejagt. Es sagt 0 Warnungen. Allit sauber. Danke.
peterha
peterha 15.01.2015 um 14:57:50 Uhr
Goto Top
Moin!

zum letzten punkt... *blöd von mir* -> Fehler gefunden (auch blöd von mir!)

Die Lösung für das Problem: Ich habe ein Skript gehabt, das den Pfad des Ordners Videos auf mein NAS abgeändert hat. (\\nas\Video)
Dadurch hat Windows sich dann vom NAS Daten gezogen.

Unter: C:\Windows\CSC\v2.0.6 hat er einen Ordner "Namespace" angelegt. Drin einen mit der IP des NAS und darin einige Video-Dateien.
Die haben die Platte voll gemacht.

Danke an dich und alle Beteiligten.
Peter
DerWoWusste
DerWoWusste 15.01.2015 aktualisiert um 15:58:00 Uhr
Goto Top
Dein Problem war also nicht die Umleitung der Library "Videos", sondern, dass Client side caching (CSC="Offline Dateien") eingeschaltet wurde, welches eine offline-Kopie aller Videos anlegen wollte.
peterha
peterha 15.01.2015 um 16:07:39 Uhr
Goto Top
Ja, korrekt. Zufälligerweise ist der Netbiosname des Rechners CSC, was mich zusätzlich "irritierte".
Danke nochmal.