svchost zieht 99% oder cpunutzung

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.01.2003, 15:02
MC
zu Gast
#76 Hallo Mädels und Jungs

Klar ist mal das die SVCHOST.EXE unter anderm ne Systemdatei ist die man nicht aus den Prozessen kicken kann! Jeder Hacker der ein bisschen Ahnung hat, (also Kein Script-Kidy) weiss das natürlich auch und so kommt es viel vor das sie ihren Trojaner in SVCHOST umbenennen! Die CPU-Auslastung oder die Lahme Inet Verbindung lässt sich auch erklären...
Entweder wird euer PC als Ablage von Dateien (Warez) benutzt oder der "Hacker" benutzt euch um Remote IP's zu scannen! HEHE

Ob ich jetzt auch so ein böser Junge bin verrate ich lieber nicht! ;)

Greets

MC
Seitenanfang Seitenende
07.01.2003, 18:43
Moderator
Avatar joschi

Beiträge: 6466
#77 Was aber, wenn der Rechner nicht online ist und trotzdem diese Auslastng der svchost.exe aufweist ? Deine Theorie ist nicht ganz "grau" aber auch nicht unbedingt schlüssig. Andere Vorschläge ? ;)
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
09.01.2003, 10:03
nogates
zu Gast
#78 Hi Leute

Ich habe kein Netzwerk und kein Internet, aber leider das gleiche Problem.
Bei mir bleibt die belastung bei 20-25%.
Im Task-Manager ist es bei mir aber das System und nicht die SVHost.exe.
Ich vermute aber das es sich trotzdem um das gleiche Problem handelt.
Alle Port sind bei mir gesperrt. Alle Netzwerkdienste sind abgeschaltet die nicht unbediengt von XP benötigt werden.
AntiTrojan,Anti-Spy,VirenScanner finden keine verdächtigen Einträge.
Im Gerätemanager sind alle Netzwerkadapter deaktiviert (auch die versteckten! - siehe -Ansicht - Ausgeblendete Anzeigen).

Wenn XP platt gemacht wird und richtig neu (mit Formatierung) installiert wird ist das Problem weg.
Hardware-Fehler ist damit ausgeschlossen !!!

Also muß es eine Datei sein die den Fehler verursacht.

Da alle Scanner nicht ansprechen ist es entweder ein Fehler in XP oder ein sehr gut versteckter Virus (Systemdateien).

Leider hab ich bis jetzt die Fehlerquelle nicht finden können, aber ich werde weitersuchen.

PS. Weiß jemand was die Datei HTPach.exe und die Datei Winio.dll (VZ: Windows) für eine Aufgabe haben. Diese wurden bei mir immer mitgeladen.
Ich habe Sie gelöscht und keine Systemveränderung feststellen können.
Seitenanfang Seitenende
11.01.2003, 17:48
Member
Avatar Evil

Beiträge: 209
#79 Tag!

Erstmal zu den "bösen Jungen" MC...
Bitte hab erbarmen und "HACKE" uns nich kaputt! Lächerlich zum "cOOlen Hacker" reichts nicht bei dir, maximal zu nen ärmlichen "Cracker" der mit billigen "ToolZ 'n' WareZ" versucht Rechner von ahnungslosen Leuten mit irgendwelchen Portscanns und blöden gepinge einzudringen... (nimm das nich persönlich, hab bloß ne große Abneigung gegen solche Flachzangen die sich als "Hacker" titulieren)

Muß dir aber Recht geben was das mit den Trojaner und umbenennen betrifft (was aber nur sehr sehr wenige und sehr gute schaffen)! svchost.exe kann ich killen wenn es sich um das System handelt, geht nur nicht mit dem lokalen Dienst dann ist erst zick mit XP!
--------------------------------------------------------------------------
zu nogates
Also ich würde sagen das Anti-Trojan ein sehr guter Scanner ist und wenn der nichts findet würd ich auch sagen das es sich nicht um ein Trojaner handelt! Kannst ja auch mal zur Sicherheit manuell in der Registrierung nachsehen. Ich bezweifel aber das bei dir alle Ports geschlossen sind z.B. Systemport 1029. Ich denke mal es ist ein XP Bug. Ich würde mal in der boot.ini bootlog aktivieren vieleicht steht da ja was drin?!?!
Was HTPatch.exe ist weis ich auch nicht, nur soviel es gehört nicht zu XP genauso wie deine WinIO.dll aber die gehört zum Beispiel (soviel ich weis) zu VisualBasic! Hast du auch eine WinIO.sys???
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Seitenanfang Seitenende
12.01.2003, 12:23
ACEatMD
zu Gast
#80

Zitat

joschi postete
Solange man nicht die Ursache kennt, tappt man irgendwie im Dunkeln.
Um dem Problem evtl etwas systematischer auf die Schliche zu kommen,
müssten Informationen über die jeweiligen rechner zusammengetragen und ausgewertet werden.
Ganz offensichtlich versteckt sich hinter jeder gestarteten svchost.exe ein Bündel von Diensten und in diese Richtung sollte jeder sein Augenmerk richten, wenn er das "Svchost-Syndrom" auf seinem Rechner hat.

Folgende Informationen in Zukunft bitte posten: (oder auch nachträglich ;) )

Alle Einträge und Untergruppen unter :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
(Bezugnehmend auf folgenden Artikel: http://support.microsoft.com/default.aspx?scid=kb%3Bde%3BD42517 )
Auch bitte das Ereignisprotokoll prüfen, ob sich Probleme mit dem Starten von Diensten ergeben !
Erst diese Punkte überprüfen, dann hier posten....

Vielleicht komemn wir so weiter
Josch
Seitenanfang Seitenende
12.01.2003, 12:27
ACEatMD
zu Gast
#81 Mir ist aufgefallen, dass viele erst einmal primär hier Ihren Frust abladen und wenig zur Lösung des Problems (bis auf ein paar ernst gemeinte Ausnahmen) beitragen.

Den Vorschlag von Josch halte ich als einzigen verfolgenswerten.

Doch wo soll man "tlist -s" oder "tlist pid" eingeben? :-(

ACEatMD

Auszug aus: http://support.microsoft.com/default.aspx?scid=kb%3Bde%3BD42517

...
Jeder Wert unter diesem Schlüssel steht für eine separate Svchost-Gruppe und wird als separate Instanz dargestellt, wenn Sie aktive Prozesse anzeigen. Jeder Wert ist ein REG_MULTI_SZ-Wert und enthält die Dienste, die unter dieser Svchost-Gruppe ausgeführt werden. Jede Svchost-Gruppe kann einen oder mehrere Dienstnamen enthalten, die von dem folgenden Registrierungsschlüssel extrahiert werden, dessen Parameterschlüssel einen ServiceDLL-Wert enthält:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\<Service>
Weitere Informationen
Um die Liste der Dienste anzuzeigen, die unter Svchost ausgeführt werden, geben Sie "tlist -s" (ohne Anführungszeichen) ein. Der Befehl "Tlist" zeigt eine Liste der aktiven Prozesse an. Mit der Option -s wird eine Liste der aktiven Dienste in jedem Prozess angezeigt. Für weitere Informationen zum Prozesstyp geben Sie "tlist pid" (ohne Anführungszeichen) ein.
...
Seitenanfang Seitenende
12.01.2003, 18:26
Peter D. aus M.
zu Gast
#82 hmm....
mit cpu ausnutzung hab ich kein prob allerdings benutzt eine von den 4 svchost.exe'n 200MB RAM + 200MB virtueller Speicher

allerdings läuft inet schon 20h ...
und der pc an sich 5d
Seitenanfang Seitenende
12.01.2003, 19:21
Moderator
Avatar joschi

Beiträge: 6466
#83 Wer ebenfalls Probleme mit besagter svchost.exe hat, sollte bitte stets das Betreibsystem mit angeben; ist interessant zu sehen, ob das Problem nun überwiegend unter XP oder gleichermaßen mit Win2000 auftritt.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
12.01.2003, 22:47
Member
Avatar Evil

Beiträge: 209
#84 hallo!

@Herr Peter D aus M:
Frage1: Welche svchost.exe?
Frage2: Woher weißt du, dass sie 200MB in der Auslagerungsdatei beansprucht?
Wie einige schlauen Menschen schon vor mir sagten, wäre es hilfreich zu wissen, welches Betriebssystem (denke mal XP) und Hardware wie CPU, RAM etc. du hast.
Guck mal im Taskmanager nach, welche PID diese svchost.exe hat und der zugesicherte Minimalspeicher.

@joschi:
Soweit mir bekannt ist, gibt es das Phänomen nur bei XP.
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Seitenanfang Seitenende
16.01.2003, 12:23
LotharK
zu Gast
#85

Zitat

joschi postete
Wer ebenfalls Probleme mit besagter svchost.exe hat, sollte bitte stets das Betreibsystem mit angeben; ist interessant zu sehen, ob das Problem nun überwiegend unter XP oder gleichermaßen mit Win2000 auftritt.
josch


Da ich diese Problem auch habe, hier mein BS: WinXP Home Edition !

Mit dem Befehl zur Anzeige der Dienste, die SVCHOST.EXE benötigen, geht mit XP Home Edition auch nicht, da ich diese Erlärung der svchost.exe bei MS nur für XP Prof. (heißt hier "tasklist /s" und W2K "tlist -s") gefunden habe.
Erstaunlicherweise tritt diese Phänomen immer dann auf, wenn der IE von einem Programm genutzt wird. Da ja nachweislich z.B. ANNO1503 auf das I-Net nicht zugreift, aber bestimmte Hilfetexte als HTML-Dateien vorliegen und diese durch den IE angezeigt werden. Je länger man ANNO1503 spielt, umso höher wird die CPU-Auslastung durch svchost.exe.
Solls dafür wirklich keine Lösung geben ?

Cheers
Lothar
Seitenanfang Seitenende
16.01.2003, 12:55
LotharK
zu Gast
#86 Für mich ist das Problem der hohen CPU-Auslastung durch svchost.exe soweit gelöst !

Und zwar folgendes: Im Task-Manager läuft eine Prozess "GMT-Service". Unter Dienste in Verwaltung findet sich leider kein Hinweis auf die Funktion dieses Dienstes. Er wurde automatisch gestartet. Hab diesen Dienst auf manuell umgestellt und siehe da, keine Probleme mehr mit svchost.exe !!!!

Wenn einer ne Erklärung hat oder weiß was der GMT-Service macht ?????

Werde es weiter verfolgen, da auch in anderen Foren dieses Problem diskutiert wird.

Cheers
Lothar
Seitenanfang Seitenende
16.01.2003, 14:20
Moderator
Avatar joschi

Beiträge: 6466
#87 @Lothar : was ist dein Betriebssystem ????
Im Taskmanager finden sich nicht nur laufende Dienste sondern auch laufende Anwendungen. Es kann genauso gut eine spezifische Anwendung auf deinem PC sein.
Hast Du evtl eine Programm, welches Dir deine PC-Zeit mit einem Server synchronisiert ?
(GMT=Greenwich Time , kann natürlich auch noch andere bedeutungen haben.)
Josch
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
16.01.2003, 15:05
Member
Avatar Evil

Beiträge: 209
#88 Ich denke mal das der GTM-Service (wenn er XP Prof. hat) der Dienst ist, der automatische Zeitsynchronisaton der Uhr ist!
Kann man abschalten unter
Maus-> rechtsklick -> Datum/Uhrzeit ändern -> Internetzeit
und die Synchronisaton abhäckeln! Vieleicht liegts ja da dran. Würde mich mal interessieren...
Und eventuel ma unter Verwaltung die Ereignisanzeige nach dem Service durchsuchen
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Seitenanfang Seitenende
16.01.2003, 15:49
LotharK
zu Gast
#89 @joschi
Wie ich in meinem ersten Post geschrieben habe: WinXP Home Edition !

@joschi
@Evil

Das mit der Zeitaktualisierung, hab ich auch dran gedacht. Aber ich habe alle automatischen Funktionen (Updates !) deaktiviert, auch die Internetzeit !

Der PC von meinem Sohn ist das selbe (gleiche ?) System wie meins, mit dem Unterschied, er hat keinen direkten I-Net Zugang über ISDN-Karte, sondern nur über meinen per Ethernet und Internetfreigabe ! Auf diesem ist der Dienst GMT-Service garnicht im Dienste-Verzeichnis vorhanden ! Beide Systeme wurden von mir installiert, unter den gleichen Bedingungen !

In der Ereignisanzeige unter Sicherheit finden sich einige Einträge mit einer Systemzeitänderung, mit folgendem Wortlaut (Copy und Paste ist leider nicht !):

Die Systemzeit wurde geändert.
Prozessname: .............\RUNDLL32.EXE
Primärer Benutzername: .............
Primäre Benutzerdomäne: ...........
Primäre Benutzeranmeldekennung: ..........
Client Benutzername: ................
Client Benutzerdomäne: .................
Client Benutzeranmeldekennung: .............
Alte Zeit: ................
Neue Zeit: ..................

Die Angaben für Primär und Client sind identisch, ebenso die Zeiten !
Ein direkter Hinweis auf den GMT-Service gibt es in der Ereignisanzeige nicht !

Cheers
Lothar
Seitenanfang Seitenende
16.01.2003, 16:19
LotharK
zu Gast
#90 @All

Zu meiner Problemlösung mit dem deaktiverten Dienst "GMT-Service".

Eine "Langzeitbeobachtung" zeigt, (siehe meinen 2. Post "Für mich ist das Problem der hohen CPU-Auslastung durch svchost.exe soweit gelöst !" um 12.55) bis jetzt (aktuell 16.16) daß svchost.exe auf 0% bleibt !! Auch sonst keine zusätzlichen oder neue Probleme !

Cheers
Lothar
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: