ComputerSysteme Lonz 0 63 43 - 98 98 335 Schulstraße 6a, 76889 Gleiszellen

Extreme CPU- und RAM-Auslastung durch Sophos mit Splashtop / Atera

von | Mai 24, 2023 | IT-Blog, Tutorial

Seit Dienstag haben wir im Monitoring sehr eigenartige CPU- und Arbeitsspeicher-Auslastungen auf einigen wenigen PCs gesehen. Der auslösende Dienst war immer Sophos Endpoint Defense Software mit über 10GB Ram und 80% CPU-Auslastung. Nachdem wir hier Nachforschungen angestellt haben, sind wir auf die Wurzel des Problems gestoßen: Splashtop 3.5.6.0. Hier zeigen wir dir, wie du dem Ganzen ein Ende setzt.

Unsere 24/7 Überwachung zeigte in der Nacht von Dienstag auf Mittwoch bei einer handvoll Geräte plötzlich eigenartige RAM und CPU-Muster. Mittwoch meldete uns eine Kundin, dass sie Performance-Probleme in einer ihrer Akustik-Kabinen hat und da war klar: hier stimmt etwas nicht.

Nach einer Sicherheitsüberprüfung der betroffenen Systeme konnten wir einen Cyber-Zwischenfall ausschließen. Die Lösung des Problems konnte dann bei genauerem Hinsehen gefunden werden.

1. Lösung, wer Splashtop behalten will

Zunächst einmal hat Sophos mittlerweile eine Lösung dafür bereitgestellt:
https://support.sophos.com/support/s/article/KB-000045230?language=en_US

Problem

Systeme, auf denen der Sophos Central Server Core Agent läuft, zeigen nach dem Update auf Splashtop Streamer Version 3.5.6.0 eine hohe CPU- und RAM-Auslastung.

Produkt und Umgebung

Sophos Central Endpoint Core Agent 2022.4 und höher
Sophos Central Server Core Agent 2022.4 und höher

Ursache

Nach dem Update auf Splashtop Streamer erstellt die Anwendung eine große Anzahl von rotierenden Logdateien in schneller Folge unter \Device\HarddiskVolume*\Program Files (x86)\Splashtop\Splashtop Remote\Server\log\agent_log.txt.001 (wobei die Erweiterung 001 bis 999 erhöht wird).
Alle diese Dateierstellungs- und Umbenennungsvorgänge werden von Sophos File Scanner und Sophos System Protection Service gescannt, was die Scan-Warteschlange vergrößert und CPU und Speicher verbraucht.

Lösung

Fügen Sie auf den betroffenen Systemen eine Ausschlussregel “Datei oder Ordner (Windows)” vom Typ “Nur Echtzeitschutz” für den Pfad hinzu, der die Logdateien enthält:

Öffnen Sie die Globalen Ausschlüsse oder eine Bedrohungsschutzrichtlinie, die auf die Server mit Splashtop angewendet wird, und klicken Sie auf “Ausschluss hinzufügen”.
Ausschlusstyp = Datei oder Ordner (Windows)
Wert = “C:\Program Files (x86)\Splashtop\Splashtop Remote\Server\log”
Der Pfad muss möglicherweise je nach Installationsort angepasst werden.
Aktiv für = Echtzeit- und Geplante Scans
Klicken Sie auf “Hinzufügen” und “Speichern”

2. Lösung, wer Splashtop nicht mehr braucht

Wer Splashtop so wie wir nur wegen Atera installiert hat, der kann das ganze getrost deinstallieren. Je nach Umgebung ist das eine relativ umfangreiche Arbeit. Daher haben wir hier das passende Skript dafür.

msiexec /x {B7C5EA94-B96A-41F5-BE95-25D78B486678} /qn

REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\Splashtop Inc." /f > nul 2> nul
REG DELETE "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Splashtop Inc." /f > nul 2> nul

RMDIR /S /Q "C:\Program Files (x86)\Splashtop\Splashtop Remote\Server" > nul 2> nul
RMDIR /S /Q "C:\ProgramData\Splashtop\Temp" > nul 2> nul

sc stop "SplashtopRemoteService"
sc delete "SplashtopRemoteService"

sc stop "SSUService"
sc delete "SSUService"

RMDIR /S /Q "C:\ProgramData\Splashtop\Splashtop Software Updater" > nul 2> nul
RMDIR /S /Q "C:\Program Files (x86)\Splashtop\Splashtop Software Updater" > nul 2> nul
exit

(Das Skript in den Texteditor kopieren, Speichern als .BAT, als Admin ausführen – oder über die RMM verteilen)

In einigen Situationen funktioniert das obere Skript leider nicht. In diesen Fällen bleibt dann nur noch dieser BAT-Befehl für die aktuellen Versionen (das Skript in den Texteditor kopieren, Speichern als .BAT, als Admin ausführen – oder über die RMM verteilen)

powershell.exe -command "& {$app = get-wmiobject -class Win32_Product -filter \"Name = 'Splashtop Streamer'\" ; $app.Uninstall()}

Hiermit wird Splashtop deaktiviert und deinstalliert und zwar komplett. Anschließend geht die CPU- und RAM-Auslastung sofort zurück.

3. Lösung, wer Atera nutzt

Sollte es hier Admins geben, die Atera nutzen, dann wäre das alles, was man tun muss:

In den Einstellungen unter Remote Access Splashtop deaktivieren. Dann wird es innerhalb von 24 Stunden von allen PCs deinstalliert.

 

Viel Erfolg mit den beiden Workarounds!

Wir setzen Cookies ein, um Ihnen einen optimalen Service anzubieten und diesen immer weiter verbessern zu können.

Durch Bestätigen von “Cookies akzeptieren” stimmen Sie der Verwendung aller Cookies zu. Über den orangenen Button können Sie Ihre individuellen Cookie-Einstellungen vornehmen.

Weitere Informationen finden Sie unter Datenschutz.

Cookie-Einstellungen

Hier können Sie wählen, welche Art von Cookies Sie auf unserer Webseite zulassen möchten. Klicken Sie auf die Schaltfläche "Einstellungen speichern", um Ihre Wahl zu übernehmen.

FunktionalDiese Cookies sind notwendig, damit unsere Webseite reibungslos funktioniert.

AnalyseAnalytische Cookies die es ermöglichen unsere Webseite zu analysieren und zu optimieren. U.a. im Hinblick auf die Benutzerfreundlichkeit.

Social-MediaUnsere Webseite platziert Social Media Cookies, um Ihnen Inhalte von Drittanbietern wie YouTube und FaceBook anzuzeigen.

WerbungDiese Cookies werden über unsere Website von unseren Werbepartnern gesetzt. Sie können von diesen Unternehmen verwendet werden, um ein Profil Ihrer Interessen zu erstellen und Ihnen relevante Werbung auf anderen Websites anzuzeigen.

AndereUnsere Website platziert 3rd-Party-Cookies von anderen Drittanbietern, die nicht analytisch, Social Media oder Werbung sind.