AVAST: NG verursacht starke CPU-Last

Viele Nutzer setzen die Virenschutzlösung von AVAST unter Windows ein. Gelegentlich kommt es dabei zu Kollisionen mit dem Betriebssystem. Hier mal wieder so ein mysteriöser Fall, den ein Blog-Leser aufgedeckt hat. Ich habe dann noch etwas recherchiert und auch Hintergründe beleuchtet – aber lest mal selbst, was Sache ist.


Werbung



Generell bin ich nicht mehr so ein Freund externer Internet Security Suites, speziell, wenn es um Windows 8 aufwärts geht. Zu häufig gibt es Ärger, wie ich als freiwilliger Communitymoderator in Microsofts Answers-Foren feststellen musste. Leider fällt mir AVAST auch mit unerwünschten Beigaben auf. Im gestrigen Beitrag Avast: Finger weg vom GrimeFighter hatte ich in Zusammenarbeit mit einem Blog-Leser bereits eine problematische Funktion beschrieben. Und im Beitrag Malware: Unerwünschte Browser-Hijacker als SW-Beifang gehe ich auf unerwünschte Software ein, die bei populären Produkten mit installiert wird. Aktuell weiß ich nicht, was AVAST noch installiert – aber ich meine mich zu erinnern, dass da auch schon mal irgendwelche Browser-Toolsbars oder Browser bei waren.

Ein Blog-Kommentar von Felix …

Aber egal. Es geht im heuten Blog-Beitrag um etwas anderes. In meinem Artikel Windows 8.1 November Rollup Update kollidiert mit AVAST hatte ich über ein Problem mit AVAST berichtet, welches aber längst durch ein AVAST-Update behoben ist. Zu diesem Blog-Beitrag ist aber kürzlich ein Nutzerkommentar von Felix Witte eingegangen:

Also das mit dem Avast: Als Teil von Avast habe ich die NG Command Line wieder abgewählt. Was auch immer das ist, aber im Taskmanager hat die bis 24 % meiner CPU belastet
AMD X2 Dual Core 4800+/Win 8.1 U1/Avast 2015 Free
Auf Programme und Features habe ich bei Avast das verändern können.

Ich hatte bei Felix nachgefragt, ob er mir noch ein paar Details nachliefern kann, um einen Gast-Beitrag daraus zu machen. Denn die Erkenntnisse sind sicherlich für andere Blog-Leser hilfreich  – ich selbst werde mir keinen AVAST aufs System holen. Hier die Infos bzw. der Gast-Beitrag von Felix zum Problem.

Hohe CPU-Last bei AVAST und die Kur dagegen

Ich habe eine starke Beeinträchtigung, d.h. Verlangsamung des Systems, durch eine Avast-Komponente, hier das NG-Modul, erfahren. Benutzt wird Windows 8.1 Update 1.

Die enorme CPU Belastung und einhergehende Verlangsamung durch Avast NG Command Line bzw. NG Front End habe ich folgendermaßen festgestellt:

clip_image002

1. Mit der Maus auf die Taskleiste und Rechtsklick. Anschließend den Kontextmenübefehl Task-Manager anwählen.

2. Im Task-Manager muss (sofern nicht sichtbar), die Registerkarte Prozesse in den Vordergrund geholt werden.

Die Registerkarte Prozesse im Fenster des Task-Manager zeigt einen extrem hohen Verbrauch an CPU-Leistung (siehe folgende Abbildung).


Werbung

clip_image004

Diese hohe CPU-Belastung von 42 % wird hier regelmäßig für die NG-Komponente ausgewiesen.

clip_image006Wem dies bekannt vorkommt: es wurde bereits erwähnt, ich benutze Windows 8.1 Update 1.

Ich lasse als Minianwendung den CPU-Monitor mitlaufen, der mir die hier gezeigte Darstellung mit hoher Auslastung anzeigt. Um diese mir unbekannte Anwendung zu entfernen, bin ich folgendermaßen vorgegangen:

1. Öffnen Sie das Startmenü (Win XP/Vista/7, oder Win 8.x mit Classic-Shell Startmenü) die Systemsteuerung.

[Anmerkung G.Born: In Windows 8.1 kann man auch per Rechtsklick auf die Schaltfläche Start das Schnellzugriffmenü öffnen und dann den Kontextmenübefehl Systemsteuerung wählen. Aber Felix beschreibt weiter unten einen alternative Ansatz, der auch geht.]

2. Dann ist der Befehl Programme und Features – Programme deinstallieren anzuwählen.

Ich habe diese Systemsteuerung immer als Befehlsliste im Startmenü ausklappen lassen, und bin dann auf Programme und Features gegangen (siehe Abbildung).

image

Für alle ohne Startmenü, also Windows 8.x gibt es folgenden Umweg.

1. Maus an die obere rechte Ecke des Bildschirms bringen, in der nun öffnenden „Charms Bar“ auf das Zahnradsymbol („Einstellungen“) gehen.

2. Dann auf Systemsteuerung klicken, d.h. den 2. Punkt in der Liste wählen.

Das nun folgende Fenster sieht dann so aus:

clip_image010

3. Dort geht man direkt auf System und Sicherheit, und dann in der Liste links auf den 4. Unterpunkt auf Programme.

4. Dort geht man direkt auf Programme und Features, wie in nachfolgender Abbildung sichtbar.

clip_image012

Die folgenden Anweisungen gelten wieder für alle Systeme:

1. Im nun erscheinenden Fenster markieren Sie Avast Free Antivirus und gehen Sie darüber auf die Ändern-Schaltfläche (siehe Abbildung).

image

2. Im nun erscheinenden [AVAST-Setup-]Fenster gehen Sie links auf Ändern und rechts unten auf Fortsetzen (siehe folgende Abbildung).

clip_image016

3. Auf der nun folgenden Seite nehmen Sie in der Mitte unter Werkzeuge das Häkchen bei NG wieder raus, siehe Abbildung – und wählen dann rechts unten Fortsetzen.

image

Das Programm erzeugt einen Wiederherstellungspunkt, das ist normal. Am Ende wird clip_image020dann ein Neustart angeboten, den man annehmen sollte. Dann klappt’s auch wieder mit der CPU – wie der CPU-Monitor zeigt ;-).

An dieser Stelle mein Dank für den Gast-Beitrag von Felix, der zeigt, wie man NG deaktivieren kann. Die in [ …] gesetzten Stellen sind meine Ergänzungen. Also: Wenn ihr den gleichen Effekt habt, einfach NG wieder deaktivieren.

Was steckt hinter NG?

Ich habe dann noch etwas recherchiert. NG ist laut diesem AVAST-Forenbeitrag eine Virtualisierungstechnologie, die von Avast DeepScreen, Sandbox und SafeZone genutzt wird. NG schränkt Anwendungen, die in der Sandbox ausgeführt werden und das System verändern wollen, ein. Das wird üblicherweise verwendet, um Malware im Echtzeitbetrieb zu identifizieren und zu eliminieren.

Im Forenthread findet sich auch die Info: Was für Sandbox und SafeZone gut funktioniert, ist für die DeepScreen-Analyse jedoch nicht optimal. Hintergrund ist, dass eine Sandbox keine Kernelmodus-Treiber oder API-Funktionen überwachen kann. Hier kommt dann NG ins Spiel. Avast NG basiert auf der Open-Source Version von VirtualBox und wird verwendet, um Malware ohne Restriktionen zu analysieren. Konkret läuft ein Windows samt des zu untersuchenden Programms in einer Virtualbox-Instanz ab. Das erklärt auf der einen Seite die CPU-Belastung. Wie es momentan ausschaut, ist NG andererseits noch recht neu und wird von einem Teil der Benutzer getestet. Der oben verlinkte AVAST-Forenbeitrag beschreibt detailliert die Wirkungsweise von NG und auch die Anforderungen.

Persönlich gehen mir zwei Sachen durch den Kopf: Einmal finde ich es eine heiße Sache, dass Malware in einer virtuellen Umgebung ausgeführt wird. Letztes Erlebnis mit Virtualbox beim Installationsversuch von Windows 10 Build 9925: Die VM ist abgestürzt und Virtualbox hat dann den Host mittels Bluescreen in den Abgrund gerissen. So viel zum “die VM schirmt den Gast vom Host ab”. Andererseits ist es schon eine clevere Idee, wenn ich eine Malware nicht an Hand von Signaturen erkenne und diese auf das System gelangt, in einer virtualisierten Umgebung ablaufen zu lassen (auch wenn Malware das teilweise erkennt und die Mal-Funktionen schlafen legt).

Zweiter Punkt, der mich beschäftigt, rührt an einem Kernproblem: Die Sicherheitsprodukte sind mittlerweile so komplex, dass die meisten Anwender nicht mehr durchblicken. Der normale Anwender installiert AVAST und hofft, dass der Rechner geschützt ist. Dass wir aber eine Vielzahl an individuellen Lösungen haben, die zu Ärger führen, zeigen mit die monatlichen Kollateralschäden am Microsoft Patchday. Und das wäre auch eine Erklärung, warum die Sicherheitslösungen von Drittherstellern immer häufiger als Problembären unter Windows 8.x auftauchen und weniger zum Schutz des Systems taugen.

Es ist immer eine Abwägung zwischen Systemleistung, –stabilität und Antivirus-Schutz. Momentan bin ich mir nicht so sicher, wie die Gewichtung aussehen soll, damit normale Nutzer ausreichend geschützt werden, ohne dass das System ausgehebelt wird. Hier fahre ich mit den Build-In-Lösungen von Windows 8.1 bzw. arbeite mit den Microsoft Security Essentials. Ich höre aber auch immer wieder, dass sich Leute da Adware und ähnliches eingefangen haben. Wie sind eure Erfahrungen? Was setzt ihr ein? Gibt es ähnliche Beobachtungen wie bei Felix, Erklärungen oder weitere Anmerkungen?

Hilfreiche Kommentare sind willkommen. Ansonsten hoffe ich, dass der Blog-Beitrag für euch interessant war. Natürlich bin ich immer offen, falls jemand von Euch auf ähnliche Probleme stößt und diese ggf. in einem Gast-Artikel publizieren mag. Oder einfach einen Tipp per Mail schicken (Kontaktdaten stehen ja im About/Impressum).

Ähnliche Artikel:
Avast: Finger weg vom GrimeFighter
Malware: Unerwünschte Browser-Hijacker als SW-Beifang
Windows 8.1 November Rollup Update kollidiert mit AVAST
Avast-Forum gehackt–Benutzerdaten sind betroffen
Avast, die Toolbar und ein Shopping-Spion
“Einen Moment Geduld bitte” nach Windows Update


Werbung

Dieser Beitrag wurde unter Problemlösung, Virenschutz abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Kommentare zu AVAST: NG verursacht starke CPU-Last

  1. Mirko Heilmann sagt:

    Schöner Artikel, zeigt er doch wieder einmal wie tief sich die “Schutzsoftware” ins System eingräbt, um dann im Ernstfall doch jämmerlich zu versagen, aber reichlich Systemprobleme verursacht. Ich habe hier teilweise in der Woche bis zu 10 Geräte mit Sicherheitsschlagmichtotsuiten rumstehen die geheilt werden wollen. Und auf den meisten ist so ein Unsinn installiert. Die Leute stehen dann teilweise da und fragen ernsthaft: “Aber der [Sicherheitssuite der Wahl einsetzen] ist doch gut, oder?”. Ich erkläre dann immer wie die Sicherheit im realen Leben funktioniert (Haus, Fenster und Türen, Alarmanlage und Wachschutz) und das ich gerade die Arbeit der Software gemacht habe und auf einmal fängt ein Umdenkprozess an. Aber was jahrelang durch alle Medien in die Hirne gebrannt wurde ist schwer zu enfernen. Meiner Erfahrung nach reicht, wie hier schon oft beschrieben, der interne (bei Windows ab 8) oder ein Basisschutz aus. Und beim Basisschutz kann man auf Werbung auch verzichten. Wenn es knallt sind sowieso alle blind und die synthetischen Tests der AV-Labore vollkommen sinnfrei. Ich habe bisher keinen einzigen Kandidaten gesehen der in einem laufenden System irgendeinen Schädling beseitigen konnte, selbst wenn es “nur” Adware ist.

    Grüße

    P.S. An der anderen Sache bin ich dran, aber der Freitag war natürlich wieder anders als geplant.

  2. anthropos sagt:

    Mit dem rechtsklick auf den start-knopf in win 8 kann man doch auch direkt wechseln zu dem punkt “programme und funktionen”, braucht nicht erst über die systemsteuerung. Wird dieser weg verdeckt durch die startmenüprogramme dritter?

  3. Ralf Lindemann sagt:

    NG führt nicht nur temporär zu einer hohen CPU-Last. NG krallt sich zudem – und zwar dauerhaft – einen nicht unerheblichen Teil des Festplattenspeichers der Systempartition. Ich schätze, bei mir waren es zwei bis drei Gigabyte.

    Außerdem ist NG unter Windows 7 mit dem internen Computerschutz korreliert. Mit der Installation von NG wurde auf meinem Rechner der maximal verwendbare Speicherplatz für Wiederherstellungspunkte auf 50% der Systempartition hoch gesetzt. Solange NG installiert war, ließ sich dieser hohe Wert nicht reduzieren. Effekt: Innerhalb kürzester Zeit ist Systempartition meines Rechners mit Wiederherstellungspunkten vollgelaufen. Genau das war dann auch der Punkt, an dem ich NG genervt vom Rechner geworfen habe.

    • Günter Born sagt:

      @Ralf: Danke für die Ergänzung – ich werde mir AVAST nicht in eine VM holen. Das NG sich einen Teil der Festplatte reservieren muss, ist imho klar: Die VM enthält ja ein Windows Gast-System (weiß nur nicht, wie die das lizenzmäßig mit Microsoft gelöst haben). Vermutlich läuft nur ein MinWin-Kern, der aber auch seine 2-3 Gbyte braucht.

      Was die Gast-Blog-Beiträge aber jetzt gezeigt haben: Das Thema Sicherheitssoftware ist zwischenzeitlich von Herstellerseite so komplex geworden, dass es selbst ein überdurchschnittlich erfahrener Anwender nicht mehr handhaben kann. Erklärt mir auch die vielen Kollateralschäden, die wir mit Norton, Kaspersky, Mc Afee, AVAST & Co. im Microsoft Answers-Forum zu sehen bekommen.

  4. Pingback: Anonymous

  5. Thomas sagt:

    Bitte nur auch das Avast-Logo verwenden und nicht von Avira 😉

  6. fred59 sagt:

    Erfahrungen…

    Habe in den früheren Jahren gesurft, gespielt und alles Mögliche ausprobiert- mit der Internetsuite mit den 3 großen Buchstaben. Die Sicherheit war trügerisch, sogar mein Provider schrieb mich an, dass mein Postfach zur Spamschleuder geworden ist.
    Danach erfolgte ein Umdenken, da ich den Heim-PC für Büro-Arbeiten nutzen wollte.
    Ich machte mich kundig, schmiß den ganzen Sicherheits-und Optimierungsmist über Bord, aktualisierte mein System und legte mir eine strenge Surfdisziplin auf.
    Seit diesem Zeitpunkt lebe ich mit meinem PC recht sorgenfrei. Insofern kann ich über 8.1 ohne fremde Sicherheitssuiten nicht klagen. Den Umgang und das Entfernen von Adware habe ich mir zwangsweise auch selbst beigebracht nach der Zahlung von “Lehrgeld” in Form von FormatC (Neuinstallation). Aber noch besser ist: kein Leistungsverlust durch weitere Sicherheitsprogramme!

  7. ortreum sagt:

    Für meinen Teil finde ich Avast schon ganz okay für das was es machen soll. Es soll mich vor den ganz blöden Uraltviren schützen. Für Chrome hab ich noch ScriptSafe, damit nicht jedes Hans-Lorenz-Javascript sich ungefragt ausführt. Bei der Installation von Freeware hake ich auch immer brav die ganzen tollen Extraprogramme ab oder akzeptiere nicht die Lizenzbedingung. Somit habe ich einen relativ guten Grundschutz. Sollte sich dann doch mal eine Toolbar oder so zu mir verirren und zickt rum, nehme ich SpyBot und löse das Problem.
    Aber mein extremster Part ist die Windows Installation selbst. Sie läuft auf einer VHD und deren Diff. Nach jedem Neustart ist das System so, wie bei der letzten Wartung, weil die Diff nach jedem Start mit einer Batch geleert wird. Im “Wartungsmodus” werden Einstellungen geändert und Programme installiert, die dauerhaft im System bleiben sollen.
    Somit kann ich praktisch jeden Virus allein durch Neustart loswerden.

    Problem nur VHD-Boot gibt es nicht bei jeder Windows-Version.

    Der Link zur Batch:
    http://www.elbacom.com/blog/2010/09/disk-mode-write-filter-or-resetting-differential-vhds

  8. Walter sagt:

    Hallo Herr Borns,

    heute habe ich das 1. Mal Probleme mit dem avast! NG command-line tool unter WIN 8.1.

    Ich habe versucht wie oben beschrieben,
    über eine Setup Reparatur NG zu entfernen.
    Es besteht keine Auswahlmöglichkeit für NG!

    Gruß

    Walter

    • Ralf Lindemann sagt:

      Einzelne Avast Komponenten lassen sich unter Setup / Ändern (!) deinstallieren.

      Setup / Reparieren verwendet man, um die Standardeinstellungen von Avast wiederherzustellen.

      Sollte auch unter Setup / Ändern keine Auswahlmöglichkeit für NG vorhanden sein (nachdem man mit der Bildlaufleiste am rechten Fensterrand ganz nach unten „durchgescrollt“ hat), dann ist NG entweder nicht installiert oder die Avast Installation eventuell beschädigt.

  9. Pingback: ngtool#1 nervt Hugo | aurum2rivi

  10. Markus B sagt:

    Ich musste gerade feststellen, dass AVAST NG auch einiges an Daten schreibt und nicht nur liest.. Das heißt in meinem Fall, dass meine SSD durch AVAST NG schneller abgenutzt wird als es ohne der Fall wäre. Da ich es früher auch nicht hatte und nicht gebraucht hab, hab ich die Funktion jetzt auch deinstalliert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.