Proactive IT security
 

NVCOAS.EXE gebruikt teveel CPU kracht en verstoort andere applicaties/werk

Zoek ondersteunings- (support) artikelen

ZOEK Geavanceerd zoeken

Datum gepubliceerd: 2008-03-10       Datum geupdate: 2009-12-14

Module(s):
On access scanner

Operations System(s):
Windows XP 32 bits
Windows Vista 32 bits
Windows 2000
Windows XP 64 bits
Windows Vista 64 bits
Windows 95/98/Me
Windows NT
Windows 2003 Server

Probleem omschrijving

Wanneer NVCOAS.EXE (Norman Virus Control On Access Scanner) constant de CPU zwaar belast, krijgt de scanner teveel scan aanvragen.

Wat is de Norman Virus Control On-Access Scanner (NVCOAS) en wat doet dit?

De On-Access Scanner is het component dat aangeroepen wordt op het moment dat je een bestand aanspreekt. Altijd wanneer een gebruiker in een applicatie een bestand gebruikt of aanroept zal NVCOAS het bestand scannen om er zeker van te zijn dat het bestand geen virus bevat, voordat het bestand daadwerkelijk gebruikt wordt. Dit scan proces neemt uiteraard wat CPU kracht in.

Wat gebeurt er wanneer OAS veel CPU tijd in beslag neemt, en dit mijn werk tegenwerkt?

In dit geval wordt een bestand extreem veel gescand of wordt er een grote hoeveelheid bestanden in een korte tijd gescand. Dit zorgt ervoor dat er een wacht rij ontstaat van bestanden die gescand dienen te worden. Wanneer dit maar voor een paar seconden is zal er geen probleem zijn – dit is normaal en het CPU gebruik zal automatisch weer dalen wanneer de piek gepasseerd is. Een voorbeeld hiervan is wanneer je een zware applicatie start die veel informatie weg wilt schrijven naar of wilt lezen van bestanden in een korte periode (zoals foto/video bewerkingsprogramma’s of databases die veel gegevens bevatten). Wanneer het CPU gebruik hoog blijft voor een langere periode of continu het werken met de PC in de weg zit moeten we ervoor zorgen dat deze bestanden niet meer gescand worden (uitsluiten van scannen).

Bekende voorbeelden waarmee de support afdeling veelal te maken heeft zijn logfiles die aangemaakt worden door logging applicaties, van bijvoorbeeld druk bezette mailservers of applicaties welke veel communiceren met configuratie bestanden en dit opslaan in log bestanden.

Probleem oplossing

Wat kan er gedaan worden om de situatie onder controle te krijgen?

De bestanden of mappen die te vaak aangeroepen worden (en dus te vaak gescand worden door de On-Access Scanner) moeten worden uitgesloten. De reden is dat deze dan niet meer gescand worden op virussen wanneer ze aangeroepen worden. Hiermee wordt de druk op de scanner en dus ook op de CPU minder.

Hoe kan ik ontdekken welke bestanden er te vaak gescand worden?

Er is een effectieve manier om er achter te komen welke bestanden de wacht rij te snel opvullen. Een gratis tool die hiervoor gebruikt kan worden is de Process Monitor tool van Microsoft SysInternals. Dit programma geeft veel informatie over acties die uitgevoerd worden door diverse processen. In dit geval bent u geïnteresseerd in de acties die nvcoas.exe uitvoert en kunt u hierop filteren.

Het werkt als volgt:

  1.  Download ProcessMonitor.zip en pak het bestand uit zoals hier wordt beschreven: http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx  
  2. Voer het uitgepakte besatnd ProcMon.exe uit en ga naar het Filter menu, kies hier de Filter optie.
  3. Voeg een nieuw filter item toe door middel van de volgende instellingen: Process Name – is – nvcoas.exe klik daarna op Include. Klik op OK als dit klaar is.
    Dit zorgt ervoor dat de Process Monitor alleen de acties van nvcoas.exe weergeeft (overigens logt hij nog wel wat alle andere processen doen, deze worden alleen niet weergegeven).
  4. Laat ProcMon ongeveer één minuut draaien terwijl het probleem aanwezig is. Dit is normaal gesproken genoeg om een beeld te krijgen van de bestanden die gescand worden. Wanneer de resultaten niet voldoende zijn kan hetzelfde uitgevoerd worden alleen dan langer.
  5. Ga naar het Tools menu en kies voor de Count Occurences optie.
  6. Zet de Column instelling op Path en klik op Count.
    Wacht even af zodat er geteld kan worden, dit kan even duren aangezien er veel data verrekend moet worden.
  7. Sorteer de resultaten door op Count te klikken. Dit geeft aan welke bestanden het meest aangeroepen worden en dus uitgesloten moeten worden. Zoals beschreven in de introductie is deze uitsluiting belangrijk omdat deze bestanden te veel aangeroepen worden, de On-Access scanner kan de aanvragen dan niet aan. De wacht rij wordt dan langer dan de scanner aankan.
  8. Het uitsluiten van bestanden kan gedaan worden in de Algemene instellingen sectie van de Configuratie Editor (Deze is te bereiken door met de rechtermuisknop op het Norman icoon te klikken en te kiezen voor Configuratie Editor). Wanneer u een bestand of map aan de uitsluitingslijst toevoegt zal de On-Access Scanner het bestand of de map niet meer scannen. Alle andere bestanden kunnen dan gebruik maken van de CPU kracht welke nu vrij gekomen is.

Na het volgenen van de instructies zal u zien dat het CPU gebruik van nvcoas.exe zal dalen. Wanneer dit niet het geval is dan moeten er waarschijnlijk nog andere bestanden of mappen toegevoegd worden aan de uitsluitingslijst. Herhaal de procedure en voeg meer uitsluitingen toe indien nodig. Wanneer u denkt genoeg uitgesloten te hebben van scannen en u nog steeds problemen heeft neem dan contact op met uw lokale Support afdeling.

Notitie

Zorg dat u voorzichtig bent met het uitsluiten. Bedenk eerst of het wel nodig is om een bepaald bestand of bepaalde map wel uitgesloten dient te worden. Voorbeeld: Het uitsluiten van C:\WINDOWS is een slecht idee. Over het algemeen is het verstandig om het aantal uitsluitingen zo minimaal mogelijk te houden.