Heute noch ein Beitrag zu einem Problem, welches Nutzer des Windows Defender oder der Microsoft Security Essentials nervt. Der Prozess MsMpEng.exe verursacht mitunter eine hohe Systemauslastung, die das System unbenutzbar machen kann.
Der Beitrag hier hat eine Vorgeschichte. Auf meinem Windows 7-Produktivsystem setze ich Microsoft Security Essentials als Virenschutz ein. Bin da auch seit Jahren gut mit gefahren und zufrieden. Seit einiger Zeit erlebe ich aber einen unschönen Effekt: Nach der Benutzeranmeldung finden für Minuten extrem viele Festplattenzugriffe statt. Kurze Analysen haben keinen wirklichen Grund geliefert (viele Desktop-Symbole mögen mit reinspielen). Aber in den letzten Wochen kommt der Effekt hinzu, dass der Google Chrome-Browser das System beim Öffnen mehrerer Tabs faktisch für Minuten unbenutzbar macht. Man hört nur noch Festplattenzugriffe und kann kaum noch etwas machen.
Eine Analyse mit dem Ressourcenmonitor zeigt (wenn der Monitor mal aufzeichnet) eine hohe Disk I/O-Last, die durch das System verursacht wird. Der Prozess MsMpEng.exe ist nicht mal so arg beteiligt.
Es wurde noch sichtbar, dass plötzlich der Arbeitsspeicher extrem viele Seitenfehler erzeugt, was die vielen Festplattenzugriffe erklären könnte. Die Speicherbelegung im Taskmanager ergab bisher aber keinen wirklichen Anhaltspunkt für zu wenig Speicherplatz.
Die MsMpEng.exe als Übeltäter?
Im Rahmen meiner Recherchen bzw. beim Versuch, die Ursache zu ergründen, bin ich dann auch darauf gestoßen, dass der die Anti-Malware-Engine MsMpEng.exe eine hohe Festplatten- und CPU-Auslastung verursachen kann. Hintergrund ist, dass sich beim Versuch, die eigenen Dateien zu überprüfen, wohl Prozesse in die Quere kommen. In diesem Microsoft Answers-Forenthread aus 2011 wird das ganze plastisch beschrieben.
Glich exakt dem Verhalten, was ich beobachtete. Ich habe dann die MsMpEng.exe deaktiviert (Echtzeitschutz ausgeschaltet), ohne dass eine Besserung auftrat. Dürfte also nicht wirklich die Ursache für mein Problem sein.
Auch dieser Kommentar im Blog thematisiert das Ganze. Im Anschluss bin ich auf diverse Fundstellen im Internet gestoßen (hier, hier und hier). Die Empfehlung, die gegeben wird, lautet, die Dateien und Verzeichnisse, die vom Defender bzw. Microsoft Security Essentials genutzt werden, vom Scan auszuschließen. Das ist in folgendem Screenshot zu sehen.
Martin Brinkmann hat es u.a. vor Jahren hier in einem Tutorial beschrieben. Aber obwohl ich die Ausnahmen definiert habe, änderte sich nichts am Verhalten des Systems. Ich verwende jetzt einmal den Firefox eine Zeit lang, um herauszufinden, ob dort der Effekt auch auftritt. Nach wie vor habe ich den Google Chrome-Browser im Verdacht – und ganz schlimm wird es, wenn der SlimJet (Chrome Clone) parallel läuft.
Vielleicht hilft es dem einen oder anderen Blog-Leser weiter, wenn das Problem hohe Systemauslastung durch MsMpEng.exe auftritt. Ich werde weiter testen und forschen müssen, um ggf. die Ursache doch noch herauszufinden.
Nachtrag: Ich habe mal einen Screenshot anfertigen können (das System war da noch benutzbar), was das Problem zeigt:
Die Last kommt von „System“ und dem „svchost“ – die MSPEngine trägt kaum was zu bei und der in den Kommentaren erwähnte TiWorker kommt nicht vor.
Ähnliche Artikel:
Windows: yac64avx10b.exe verursacht hohe CPU-Last
Windows 10: Bug zeigt 100% CPU-Auslastung im Taskmanager
Windows 8.1: Hohe CPU-Last durch Systemunterbrechungen (DPC)
AVAST: NG verursacht starke CPU-Last
Windows 8/8.1: Hohe CPU-Auslastung durch Windows Store und Store Broker
Lokales System (Netzwerkeinschränkung) erzeugt hohe CPU-Last
Windows 10: Hohe RAM-Auslastung durch ntoskrnl.exe
Windows: svchost.exe braucht viel Arbeitsspeicher/CPU
Das Problem mit der hohen CPU-Auslastung nach dem Systemstart hatte ich auch.
Es wurde bei mir durch den Prozess TIworker.exe verursacht (100% Systemauslastung während Minuten).
Dieser Prozess wird u.a. vom Windows-Update und bein installieren von MS-Komponenten gestartet.
Nachdem ich die MSMPENG.exe im Defender ausgeschlossen hatte, hat der TIworker auch nicht mehr Probleme verursacht.
Schlüssige Beweise habe ich nicht, aber vielleicht können Spezialisten hier den Zusammenhang belegen.
Bei mir hat’s jedenfalls funktioniert und geholfen.
Den Prozess habe ich zwar auf dem Radar, der scheint aber im konkreten Fall unbeteiligt. Auffällig ist hier wirklich: Die hohe System-I/O-Last geht einige Minuten nach der Anmeldung zurück – und das System ist nutzbar.
Ich sitze im Google Chrome (portable) oder SlimJet (portable) und habe mehrere Tabs geöffnet. Noch ein Tab mehr geöffnet und plötzlich fängt die Festplatte an zu rattern – dann geht nichts mehr. Selbst den Task-Manager oder Performance-Monitor bekomme ich nur nach elendig langer Verzögerung gestartet. Und dann wird es schwierig mit der Analyse – denn wenn das Zeugs bis läuft, ist irgendwann die hohe Systemlast weg. msmpeng.exe anhalten, Chome-Tabs schließen etwas bringt dann keine Abhilfe. Irgendwas im Windows-Kernel geht da ziemlich schief.
Mir bleibt nichts anderes übrig, als weiter zu versuchen, immer wenn das Ganze auftritt, zu analysieren, ob ich die Ursache eingrenzen kann. Ist aber extrem zeitaufwändig. Gestern habe ich mal den FireFox Portable genutzt, und der Effekt trat nicht auf.
Ich habe folgende Erfahrung gemacht:
Szenario
Ich installiere z.B. Access-Runtime auf einem PC.
Wenn ich >VOR< der Installation im Defender MSMPENG nicht ausschliesse, wird während der nachfolgenden Installation TIworker.exe automatisch gestartet und dreht dann mit 100% Prozessorauslastung seine Runden. Man kann das während der Installation im Taskmanager live mitverfolgen.
Konsequenz: Die Installation kann mehrere Stunden dauern.
Ich konnte dieses Verhalten auf VM's zweifelsfrei reproduzieren. Daher ist für mich klar, dass es einen Zusammenhang mit TIworker.exe und MSMPENG gibt.
Daher bin ich auch überzeugt dass es sich lohnt, die Spur von TIworker.exe weiter zu verfolgen.
Ich habe den Defender bei mir aus diesem Grund unter Windows 10 komplett deaktiviert. Mir war aufgefallen, dass er enorm große Dateien unter, glaube ich, C:\Windows\Temp angelegt hat (was die ständige I/O-Aktivität erklärt) – es wurden mehrere GB große Dateien erzeugt, dann gelöscht, und es ging wieder von vorne los. Stundenlang…
Da das meiner SSD auf Dauer sicher nicht zuträglich ist, wenn da im Laufe eines Tages viele GB oder gar TB geschrieben werden, musste MsMpEng.exe sterben.
Bei zwei frischen (mit allen Updates versorgten) Windows 8.1 Geräten hatte ich das Problem, das sich der Defender in das Programm gPhotoShowPro verbissen hat mit hoher CPU Last und das über mehrere Stunden, bis das Programm quasi unbedienbar wurde.
Da half auch nur, eine Ausnahme zu definieren, aber bis man darauf erstmal gekommen ist…
Ich habe es jetzt erst mal so richtig gelesen. Ich denke, hier ist etwas durcheinander mit MSE und Defender, dann mit den BS Win7, 8, 8.1 und 10. Meines Erachtens auch mit dem physischen RAM und der Einstellung? Jedenfalls lassen sich so die jeweiligen Feststellungen nicht vergleichen.
Ich kann nur für Win 7 Prof. sprechen.
Die TIworker.exe gibt es wohl erst seit Windows 8. Da ich das nicht habe so keine Ahnung. Auf Win 7 gibt es den MSE (optional kann man installieren) und den Defender (ist drauf). Es sind unterschiedliche Programme, haben zwar teilweise die gleichen ausführbaren exe, aber andere Aufgaben. Hat man MSE so sollte sich der Defender von sich aus deaktivren. Hat man nicht MSE sondern ein Fremd-AV-Programm (nicht von Malwarebytes !!!, da andere Aufgabe), so sollten man den Defender deaktivieren, da dann sinnlos.
Jedenfalls bei mir gibt es nicht mal ansatzweise die Belastung von MsMpEng.exe.
Ich möchte aber dringend auf was anderes hinweisen. Oben heißt es:
„Die Empfehlung, die gegeben wird, lautet, die Dateien und Verzeichnisse, die vom Defender bzw. Microsoft Security Essentials genutzt werden, vom Scan auszuschließen. Das ist in folgendem Screenshot zu sehen….“. Das basiert wohl aus den Internetbeitrag von Martin Brinkmann, siehe oben.
Man sollte nicht die Verzeichnisse, sondern die exe-Dateien dann ausschließen. Denn wenn man die Verzeichnisse ausschließt, so kann es schon vorkommen, dass sich dann dort was einnistet. Die Gangster sich doch pfiffig und wollen dort sich einnisten. Ich hatte nämlich mal den Fall, dass ein Gangster sich im Verzeichnis von Malwarebytes-Antimalware versteckt hat. Also bitte keine Verzeichnisse angeben.
Grüße
Moin @ All!
Aktuell habe ich auf meinen Windows 7 Maschinen ein gleichartiges Problem. Starte ich über die Microsoft Security Essentials eine „benutzerdefinierte“ Überprüfung, so verursacht der Prozess MsMpEng.exe eine sofortige 100 %ige Auslastung der CPU. Wähle ich hingegen als Überprüfungsoption „Schnell“ oder „Vollständig“ so tritt dieses Phänomen merkwürdigerweise nicht auf und MsMpEng.exe belastet die CPU nur minimal. Handelst es sich hier um einen Programmier- /Softwarefehler der aktuellen MSE Version?
Folgende MSE Version ist installiert:
Antimalware-Clientversion: 4.10.209.0
Modulversion: 1.1.14500.5
Virendefinition: 1.261.404.0
Antispywaredefinition: 1.261.404.0
Version des Moduls des Netzwerkinspektionssystems: 2.1.14202.0
Version der Definition des Netzwerkinspektionssystems: 118.2.0.0
ich überprüfe das mal bei mir, Stand-PCs und Notebook. Wie gesagt @Trillian, ich hatte das beim Notebook. Ich melde mich.
@Trillian – ich kann es (teilweise) bestätigen mit den nachfolgenden Hinweisen. Bei einem Stand-PC mit 20 GB RAM und I7-3700 geht bei Überprüfung mit dem Modus „benutzerdefiniert“ – ausgewählt zweite interne Festplatte die CPU-Last auf über 95%-100% temporär. Der RAM wird von MSE dagegen nur unwesentlich in Anspruch genommen. Die Aktivität der CPU-last schwankt aber von 10% bis eben 100%. Es hängt wohl auch damit zusammen welche Dateien gerade vom MSE gescannt werden.
Das ist wohl das alte Problem mit MSE, dass die CPU-Last bis 100% steigt, damit auch die Temperatur der CPU-Einheit. Diese variiert zwischen 60 bis 68 Grad Celsius. Das ist wesentlich zu hoch. Bei einem Notebook hätte da schon mal wieder ein Omelett machen können. Es ist aber wohl abhängig von der jeweiligen Datei.
Fazit: Der Scan „benutzdefiniert“ kann zu CPU-Last bis 100% sorgen, aber nur temporär. Bei einem Notebook hätte man große Probleme mit der Temperatur.
Moin Dekre!
Thx für den schnellen Gegencheck. Auch auf meinen Windows 7 Systemen wird in allen Scanmodi’s der RAM durch MsMpEng.exe nur unwesentlich in Anspruch genommen. Neu ist halt diese hohe CPU-Last bei einer „benutzerdefinierten“ Überprüfung. Das hatte ich halt hier so noch nicht am Start…
Das war/ ist wohl bei meinem Notebook auch so. Das aber nicht bei schnelle Prüfung. Bei dem Notebook HP Elitebook 8560w mit 16GM RAM stieg die Temp. weit über 80 Grad Celsius an. Zog ich dann den Netzstecker, so sank die Temperatur rapide. Das habe ich dann ca. eine halbe Stunde gemacht (er zog den Strom durch den Akku und das mächtig) und dann wieder an das Netz. Da hat man schon hören können wie die Lüfter wieder in voller Leistung waren und die Temperatur weit über 80 Grad stiegen.
Bei Eset-Interet-Scan und bei Malwarebytes (trotz gestrigem Problem) tritt das nicht auf. Generell verbraucht aber Malwarebytes bei Win 7 mehr RAM als MSE. Es ist aber verträglich, bis auf den gestrigen Fehler. Andere reine Fremd-AV-Systeme verbrauchen mehr Energie (CPU-Last wie RAM).
@ Dekre
Für die Scanoptionen „Schnell“ & „Vollständig“ lässt sich ja die CPU-Auslastung während der Überprüfung unter Einstellungen / Geplante Überprüfung auf 10 – 100% begrenzen. Muss Microsoft halt nachbessern und so eine Option auch für den Customscan anbieten oder per default auf < 50 % begrenzen. Kann doch nicht so schwer sein…
Ich bin mal wieder mit PCs und allen drumherum beschäftigt. Deshalb eine Meldung:
Die Einstellung bei MSE mit der CPU-Last ist sinnlos. Ich habe da noch nie eine Auswirkung gemerkt und habe das Thema seit Jahren schon durch. Es wird insofern nur bei Notebooks interessant, weil die Temperatur hochgeht. Bei Desktop-PCs taucht das Problem nicht auf, zumindest nicht bei den Geräten die ich habe. Die CPU-Last ist auch nicht höher oder niedriger. Es ist die Temperatur, die steigt. Das tritt nur bei Notebooks auf und hat wohl was mit der Systemeinstellung, der Konfiguration etc… an sich zu tun. Wie immer habe ich das Thema abgeschlossen und mich daran gewöhnt. Man gewöhnt sich an alles. Ich kenne keinen PC der an sich fehlerfrei verläuft. Jeder hat mit irgendetwas seine Macken, so wie beim Menschen.
Ansonsten, so wie ich es schon dargestellt habe.
Schon mal das hier probiert: https://support.microsoft.com/en-us/help/3083595/task-manager-might-show-100-disk-utilization-on-windows-10-devices-wit
Mit Windows 8 beginnend benutzt der AHCI Treiber Message Signaled Interrupts statt des „normalen“ Interruptmechanismus. Nicht jede Hardware funktioniert damit fehlerfrei. Mein altes AMD Sytem mit SB700 Chipsatz will dann gar nicht erst booten, siehe auch hier:
https://social.technet.microsoft.com/Forums/de-DE/803569e5-5dff-4df5-9419-9765e464986b/how-to-disable-message-signaled-interrupts-for-storahcisys-win10-vs-ahci-vs-amd-sb700?forum=win10itprohardware
In diesen heißen Sommertagen 2018 hat sich mein Rechner nach längerem Surfen im Internet wegen Überhitzung zweimal notabgeschaltet. Grund war nicht nur die hohe Außentemperatur, sondern die stundenlange CPU-Belastung durch »MsMpEng.exe« mit rund 25 Prozent …
Ich habe festgestellt, daß »MsMpEng.exe« jedesmal auf ein Viertel der Rechnerleistung hochfährt, wenn ich meinen Firefox-Browser starte, und zwar auch dann, wenn ich noch offline (!) bin … offenbar haben sich die MS Security Essentials fest mit Firefox verbunden und überwachen ihn, solange er läuft, mit hoher Systemlast, was dann bei längerem Betrieb zu erhöhten Temperaturen des Prozessorkerns führt, die auch der Lüfter im Fall der beiden Notabschaltungen nicht zu kompensieren vermochte … kommen Downloads mit dem Browser hinzu, erhöhen sich Prozessorbelastung und PC-Temperatur noch mal erheblich …
Nun läuft mein PC wieder flüsterleise und ist am (hinteren) Gehäuse nur noch lauwarm, nachdem ich mit Aufruf der MS Security Essentials im grünen Tray-Symbol unter »Einstellungen – Ausgeschlossene Prozesse – Durchsuchen – (zum Firefox-Verzeichnis durchhangeln) – auf »firefox.exe« klicken – Hinzufügen – Änderungen speichern« die ressourcenfressende und hardwaregefährdende Permanentüberwachung des Browsers durch »MsMpEng.exe« abgeschaltet habe …
Vielleicht surfe ich nun mit etwas erhöhtem Risiko durchs Netz (wobei ich allerdings bezweifele, daß »MsMpEng.exe« mich vor gefährlichen Skripten oder Gefahren durch heruntergeladene Dateien bewahren würde, falls ich die ständige Firefox-Überwachung eingeschaltet ließe), aber dafür schenke ich meinem Rechner ein deutlich längeres Leben, der nun nicht mehr den unnötigen Hitzetod sterben muß! … ;-) …
Grüße von
Anvelarius
Danke, interessante Feststellung mit Firefox und MSE. Bei meinem Notebook ist das so. Ich habe schon beobachtet, dass bei Firefox die CUP-Temp. stark steigt. Ich werde es mal checken und machen. Ich habe parallel Malwarebytes in der Kaufversion. Da geht es. Beide Programme behindern sich auch nicht.
Bei dem Desktop-PC hatte ich keine Probleme. Regelmäßig sauber machen hilft bei trockener Luft in diesem Sommer.
Guten Tag, also ich habe grundsätzlich nicht so wahnsinnig viel Ahnung wenn es in die IT Materie geht. Aber was mir aufgefallen ist:
Ich habe meine neue Version des Antivierenprogramms S&D installiert und danach gescannt. Während des scannens habich mehrfach Fehlermeldungen bekommen, das meine systemressourcen ausgelastet wären und ich andere Programme schließen solle. Im Taskmanager war das nicht nach zu vollziehen, es waren überall Ressourcen frei. Allerdings hat mir die MsMpEng.exe etliche Harte Fehler im Arbeitsspeicher angezeigt. Die Zahl lag zwischen 200 und 800 hatte Fehler während des scanns. Hilft euch das irgendwie weiter oder läuft bei mir was falsch ?
Da Programm Search & Destroy dürfte das „läuft bei mir was falsch“ sein.