XP Explorer.exe wird immer größer im Speicher - Wie debuggen bzw. der Ursache näherkommen?

Dalai

Grand Admiral Special
Mitglied seit
14.06.2004
Beiträge
7.420
Renomée
262
Standort
Meiningen, Thüringen
Hallo Leute,

mich plagt nun schon seit einigen Monaten ein Problem auf meinem Server: die explorer.exe wird mit der Zeit immer größer und ich weiß nicht, woran das liegen kann :[. Die Menge des insgesamt belegten Speichers nimmt dadurch natürlich ebenfalls weiter zu.

Die Zunahme ist immer unterschiedlich, aber um mal die Dimension klarzumachen: nach 14 Tagen erreicht die explorer.exe eine Größe zwischen 90 und 180 MiB - von anfänglich um die 25 MiB. Tötet man nun die explorer.exe und startet sie neu, beginnt das Spiel von vorn. Dass das auf einem Server natürlich kein Zustand von Dauer sein kann, sollte klar sein.

Was habe ich bereits versucht?
  • AutoIt-Skript geschrieben, das per Taskplaner gerufen wird und die Größe der explorer.exe in eine CSV schreibt, damit man das im Excel grafisch auswerten kann.
  • Process Explorer gestartet und geschaut, welche Module/DLLs im Kontext des Explorers laufen und viele davon deregistriert. Danach explorer.exe neu gestartet, aber geändert hat sich nichts am Grundproblem.
  • DebugDiag geladen, installiert und auf die explorer.exe losgelassen. Das Ergebnis der Analyse ist allerdings eher mau und wenig aussagend, sofern ich das interpretieren kann. Interessant ist ein UNKNOWN_MODULE, das Speicher alloziiert hat, und zwar an der Adresse 0x00000000 - keine Ahnung, wie das funktionieren soll, aber ich vermute, dass hier ein Treiber im Spiel ist.
Gibt es irgendein Programm, mit dem man den Speicherverbrauch der einzelnen Module aufzeichnen kann über die Zeit (als Graph)? DebugDiag gibt zwar die Größe der Module aus, aber nur als (festen) Wert zum Zeitpunkt des Dumps.

Wie kann ich sonst der Ursache näherkommen?

System, um das es geht:
Athlon II X2 250
Asrock K10N78M Pro (GeForce 8200)
Promise Ultra 100 TX2
1x Maxtor 200 GB IDE am Promise
1x WD 500 GB SATA2
2x optische Laufwerke
1x LS120-LW
WinXP SP3, IE8

Mein Bruder hat übrigens dasselbe Problem, aber mit anderer Hardware:
Athlon 64 3200+
GA-K8N51GMF-9-RH (GeForce 6100/nForce 430)
(sonstige Hardware kann nachgereicht werden)
WinXP SP3, IE8

MfG Dalai
 
Mal über eine Infektion der Systeme Gedanken gemacht?

Im abgesicherten Modus starten und mit Hijack-This schauen was alles so gestartet wird.

Auf einem garantiert sauberen System mal eine Linux-basierende Rettungs-CD herunterladen - rescue-CD von Avira bietet sich dort an - und das System mal auf Böses untersuchen lassen.
Aus Sicherheitsgründen würde ich beim ersten Durchlauf Funde nur protokollieren lassen.
 
Mal über eine Infektion der Systeme Gedanken gemacht?
Die gibt es mit Sicherheit nicht, weil an diesen Systemen nicht gearbeitet wird. Dazu kommt noch, dass beide Systeme relativ frisch installiert sind, mein Server am 02.11.2010, der Server meines Bruders am 13.02.2011. Und wieso sollte ausgerechnet derselbe Schädling beide Systeme befallen? Oder unterschiedliche Schädlinge dieselbe Auswirkung haben? Das ergibt keinerlei Sinn.

MfG Dalai
 
Wieso, kann auch ein Wurm sein, der sich über das Netz selbst instaliert. Oder Schadsoftware von einem Netzlaufwerk. Ich würde lieber auf Nummer Sicher gehen.
 
Die fraglichen System stehen in völlig unterschiedlichen Netzen in unterschiedlichen Städten. Da is nix mit Verbreitung über Netzwerk vom einen betroffenen System zum anderen. Dazu kommt, dass beide Server jeweils hinter einem fli4l-Router stehen. Und was sollte ein Wurm machen, der keinerlei Traffic verursacht? Däumchen drehen? Beide Anschlüsse werden schon immer mit Imonc überwacht.

Nochmal: ich bin sicher, dass keines meiner Systeme befallen ist, und auch bei dem meines Bruders bin ich ziemlich sicher. Meinen neuen Server habe ich erst im vergangenen Jahr aufgebaut und installiert und wenn, dann müsste sich auf dem alten System das gleiche Symptom gezeigt haben, auch wenn es ein Win2k war. Dem ist aber nicht so.

MfG Dalai
 
das verhalten ist normal und hängt mit dem cachen bestimmter symbole etc. zusammen. bei 100-200 mb hört er dann auf damit und bleibt speichertechnisch dort.
 
Das glaube ich nicht wirklich. Auch wenn ich das natürlich nicht mit Bestimmtheit sagen kann, weil ich den explorer immer vorher getötet und neu gestartet habe, wäre das sehr seltsam, wenn ein gleichermaßen lange laufendes XP64 in der Firma kein derartiges Verhalten zeigt; dort ist die explorer.exe weit unter 50 MiB. Ich weiß: XP ist nicht XP64, aber trotzdem müssten sie sich in diesem Punkt ja gleich verhalten. Aber wir warten mal ab, wie sich die Größe entwickelt; momentan sind wir wieder bei 150 MiB.

MfG Dalai
 
XP64 basiert auf Server2003 das ein weiterentwickeltes WinXP ist. Dort kann sich durchaus was geändert haben.
 
Mittlerweile ist der Verbrauch des Explorers auf meinem Server auf über 250 MiB gestiegen. Soviel also zum "normalen Verhalten". Interessant ist aber der Verbrauch des Explorers auf dem Server meines Bruders, dort ist er seit Mittwoch konstant bei ~130 MiB.

MfG Dalai
 
Auf Beiden die gleiche Version des IE drauf und das gleiche Antivirenprogramm ?
 
Gerade eben hat sich die explorer.exe mit einem Dr.Watson-Fehler verabschiedet - mit einer Größe von ~300 MB. Mal sehen, wie sich die Sache nun entwickelt, so ganz ohne Debugger und sonstigen Kram.

MfG Dalai
 
Inzwischen sind wir wieder über 360 MB angekommen und weil die Meldungen so abstrakt sind, stell ich nun doch mal einen (kommentierten) grafischen Verlauf hier rein:


Ich finde den Verlauf ganz und gar nicht normal, zumal an der Kiste so gut wie nichts gemacht wird. Hin und wieder läuft JDownloader und/oder Mipony, sonst bietet der Server nur Dienste an (Jabber, FTP-Server, Patch-Server und eben normale Dateifreigabe).

Auf dem Server meines Bruders ist der Explorer übrigens auch irgendwann mal weggeschmiert - und steigt seitdem "wie üblich" im Verbrauch wieder an.

Hat irgendjemand irgendwelche Vorschläge, wie man dem Problem und vor allem der Ursache auf die Spur kommen könnte?

MfG Dalai
 
Seit meinem letzten Post ist der Explorer nicht mehr weggeschmiert, aber inzwischen auf 600 MB angewachsen :]. So langsam wird der Speicher so voll, dass ich den Explorer entweder wieder einmal killen muss oder gar den Server (nach nunmehr knapp 248 Tagen Uptime) neu starten muss. Letzteres wäre evtl. gar nicht so schlecht, um die installierten Windows Updates wirksam werden zu lassen *buck*.

Vorschläge?

MfG Dalai
 
Update

Ich habe festgestellt, dass der Speicheranstieg zusammen mit Lastspitzen auftritt, die man im Taskmanager sehen kann (siehe Bild im Anhang). Diese lasten eine CPU voll aus (Single Core also zu 100% und Dual Core insgesamt 50%) und erscheinen in unterschiedlichen Intervallen, manchmal 1x pro Minute, manchmal 1x in 3 oder 4 Minuten. Fakt ist ebenfalls, dass explorer.exe bei Auftritt einer solchen Lastspitze zur Last beiträgt, sie aber nicht allein verursacht; es ist zusätzlich Kernel-Laufzeit zu erkennen, was auf einen Treiber hindeutet.

Auf meinem Server habe ich (leider nicht immer zuverlässig) beobachten können, dass zusammen mit einer Lastspitze der Speicherverbrauch der explorer.exe um 4 KiB ansteigt.

Da ich wirklich wissen wollte, wer für das Problem verantwortlich ist (oder es auslöst), habe ich in den vergangenen Wochen verschiedene Programme und Treiber deinstalliert, die in irgendeiner Weise Verbindungen zu Treibern und Explorer haben und außerdem auf beiden betroffenen Systemen vorhanden sind: Daemon Tools, Unlocker und Logitech Mouseware. Ich war nach viel Gefummel beim Deaktivieren von Geräten (Audio- und SATA-Controller) & Treibern sowie Warterei in der Lage, den Auslöser zu finden: VMware Workstation (Version 5.5). Endlich! :D

Es ist gesichert, dass irgendein Treiber von VMware diese Spitzen auslöst, denn ich habe testweise VMware auf einem (sonst hardwaremäßig mit dem meines Bruders übereinstimmenden) System installiert, das diese Spitzen bisher nicht zeigte und sofort nach Installation kommt es zu den Lastspitzen. Weiterhin sind die Lastspitzen auf allen meinen Systemen zu beobachten, die VMware installiert haben.

VMware sehe ich trotzdem nur als Auslöser und nicht als Ursache, weil die Lastspitzen teilweise blieben, nachdem alle VMware-Treiber deaktiviert waren.

Da ich keine Möglichkeit sehe, detailliert zu suchen, welcher Treiber konkret dafür verantwortlich ist (VMware bringt ja mehrere mit, die noch dazu teilweise voneinander abhängig sind), werde ich ältere Versionen von VMware testen. VirtualBox kommt als Alternative leider nicht in Frage, weil wir damit in der Firma schon viel "Spaß" hatten (getrennte Netzwerkverbindungen auf dem Host auch ohne dass eine VM lief :]).

MfG Dalai
 
Wenigstens kannst Du nun beruhigt sein, daß es keine Malware irgendeiner Art war.

Ich würde das dem Hersteller mal melden bzw. in dessen Forum nachschauen, ob das bekannt ist bzw. es evtl. bereits einen Fix oder Workaround gibt. Möglicherweise ist es ein bestimmtes Modul, was man auch deaktivieren kann.
 
Wenigstens kannst Du nun beruhigt sein, daß es keine Malware irgendeiner Art war.
Das war mir von vornherein klar, wie ich ja bereits am Anfang des Threads schrieb.

Ich würde das dem Hersteller mal melden [...]
VMware Workstation 5.5 ist vergleichsweise alt [NOPARSE](von 2008)[/NOPARSE] und deswegen gibt es dafür garantiert keinen Support mehr. Inzwischen ist ja Version 8.x aktuell. Aber neuere Versionen müsste ich erst evaluieren und das bedeutet wieder Aufwand.

[...] bzw. in dessen Forum nachschauen, ob das bekannt ist bzw. es evtl. bereits einen Fix oder Workaround gibt. Möglicherweise ist es ein bestimmtes Modul, was man auch deaktivieren kann.
Das werde ich versuchen, allerdings habe ich meine Zweifel daran, dass das Problem irgendjemandem aufgefallen ist (die Lastspitzen sind dafür einfach zu klein und kurz) und falls es jemand bemerkt haben sollte, ist nicht gesichert, dass er es irgendwo kundgetan hat. Weiterhin kann sich das Problem auf anderen PCs anders auswirken oder nicht sofort zeigen (auf dem Laptop meines Bruders zeigt es sich nicht). Naja, wie gesagt, ich schau mal, ob ich etwas finde.

MfG Dalai
 
Is da nich Process Explorer /Monitor gut für.
Siehe erster Beitrag:


Was habe ich bereits versucht?

  • [...]
  • Process Explorer gestartet und geschaut, welche Module/DLLs im Kontext des Explorers laufen [...]
Für Treiber bringt Process Explorer nichts. Im Process Monitor sieht man auch nur Prozesse und deren Tätigkeiten. Aber es ist ja kein Prozess ursächlich für das Problem sondern irgendein Treiber oder eine Inkompatibilität zwischen mehreren Treibern; ich kann da nur vermuten.

MfG Dalai
 
Update

Ein Downgrade von VMware Workstation 5.5.9 auf 5.5.8 hat zumindest auf meinem Server bisher einen guten Eindruck gemacht. Dummerweise scheint es noch mindestens einen anderen Auslöser zu geben, der nichts mit VMware zu tun hat. Ich hab zu einem Zeitpunkt die eigene Freigabe des Servers als Netzlaufwerk verbunden(1), um Java zu aktualisieren(2) und sofort zeigte sich eine Erhöhung der CPU-Last über die Zeit im Munin, eine Vergrößerung der explorer.exe und auch - diesmal deutlich längere - Lastspitzen im Taskmanager mit Kernellaufzeit. Das ließ sich nur durch einen Neustart beheben; seitdem ist erstmal wieder Ruhe. Die erneute Aktualisierung von Java am Sonntag hat sauber geklappt, wahrscheinlich weil ich diesmal mit gesubstetem Verzeichnis statt Netzlaufwerk gearbeitet habe.

(1) Die hier benutzte Freigabe wird verwendet, weil dort alle für die Aktualisierung bzw. Installation von PCs wichtigen, immer wieder gebrauchten Programme/Runtimes vorhanden & gesammelt sind, die man auf diese Weise viel einfacher im Netzwerk verteilen kann, natürlich automatisiert/unbeaufsichtigt mit Skripten, um nicht immer denselben Kram einstellen zu müssen.
(2) Falls sich jemand fragt, wozu auf dem Server Java benötigt wird: Openfire, ein Jabber-Server, braucht Java.

MfG Dalai
 
Zurück
Oben Unten