svchost zieht 99% oder cpunutzungThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
21.03.2003, 23:31
...neu hier
Beiträge: 2 |
||
|
||
22.03.2003, 00:07
Moderator
Beiträge: 6466 |
#122
Also um es kurz zu machen: Daten sichern, solange der PC noch startet und das Betriebsystem neu aufsetzen.
Nach den gegebenen Informationen ist es schwer zu sagen, was sich da ereignet hat. Evtl hat die Sicherheitssoftware einen Fehler begangen, oder Du hast tatsächlich einen Virus, Dialer oder "sonst was" auf dem PC ?! Nachdem der Inhalt des System32-Ordners verschwunden ist, ist die Integrität vieler Programme und des Systems nicht mehr zuvelässig gegeben. Ich denke, es macht keinen Sinn irgendwelche Wiederherstellungsversuche zu unternehmen. josch __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
26.03.2003, 18:59
Member
Beiträge: 209 |
#123
Hä, du hast der svchost den Internetzugriff verweigert? Wie kommst du da ins Netz???
Ansonsten klingt das echt hart. Schließ mich da joschi an, da hilft wohl bloss noch format c: __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
27.03.2003, 11:22
...neu hier
Beiträge: 2 |
#124
Zitat Evil postete Nachdem in svchost geblockt hatte natürlich gar nicht mehr. Aber lieber das, als wenn der Trojaner (oder was auch immer) frei kommunizieren kann, sag ich. Nach dem Neustart (mit den oben beschriebenen fatalen Folgen) wurde die svchost.exe als Prozeß übrigens auch nicht mehr angezeigt. Gefunden hat ihn nur (neben meiner Firewall) immer wieder adwatch, das als Hersteller der svchost interessanterweise "Cydoor" angab. Und jeder weiß ja nun, daß Cydoor Technologies zu den Dreckschleudern im Netz zählt. Inzwischen hab ich format c:/ in der Tat durchgeführt. Die Datensicherung war noch ein Problem, weil auch alle drag&drop funktionen deaktiviert waren und Brennsoftware nicht mehr funktionierte. Neuinstallation von Brenn- oder Anti Viren Software war wegen zerlegtem Windows-Installer auch nicht mehr möglich. greetz Yann |
|
|
||
28.03.2003, 15:07
Member
Beiträge: 209 |
#125
Es gibt Notfallcd's die auch aus dem DOS brennen können, weis jetzt bloss nicht ob du unter NTFS oder Fat32 arbeitest! Unter NTFS funzt das natürlich nicht.
Hast du auch mal versucht einen neueren Windows-Installer zu installieren? __________ /* whitehouse.css */ #GeorgeWBush { position:absolute; bottom: -6ft; } |
|
|
||
14.04.2003, 22:34
...neu hier
Beiträge: 3 |
#126
Da ich seit kurzer zeit das gute, jetzt schon alte, problem mit der svchost.exe habe, machte ich mir mal die arbeit alle seiten von 1-9 durchzulesen. leider fand ich nur winzige lösungsansätze die mich auch nicht viel weiter brachten.
mhhh, also blieb nix anderes übrig als selber nach einer lösung zu fanden. wenn man alle merkmale dieses problems zusammenfügt kommmt man darauf das es immer mit netzwerkdiensten oder irgend welchen netzwerküberwachungsprogs zu tun hat. ich kann bei mir den zeitpunkt ziemlich genau festlegen, es fing bei mir an als ich einen proxy auf meinem rechner installiert habe um meinem zweitrechner auch internet zu gönnen. meiner meinung nach harmonieren 2 oder mehrer dienste nicht miteinander., und verursachen dann eine megamäßige cpu auslastung. das manche leute hier behaupten das müsse so sein, will ich mal unter den tisch kehren,(so ein quatsch hab ich lange nicht mehr gehört) was sich wohl auch bestätigt hat ist das es kein trojaner, virus oder etwas in dieser richtung sein kann. es ist einer von 1000enden windowsbugs und ich habe keine lust auf das 2. servicepack zu warten bis sich das problem erledigt hat. Mein ansatz: wenn jeder mal seine dienste die die svchost.exe ausführt posten könnte (wie ich das anschließend mache) ist es vielleicht einfacher den schimmelnden dienst zu entdecken. es wäre vielleicht auch dienlich wenn es mal wer posten könnte der nicht an dieser krankheit leidet, so hätte ich einen besseren vergleich als die vorgabe von microsoft die hier ja schon oft genug gepostet wurde. so, mehr kann ich auch nicht tun und hoffe es finden sich ein paar vergleiche, damit ich nicht alles von hand ausprobieren muß und tausend mahl neu starten ist auch nicht das tollste. ich denke das reicht fürs erste Tito Ps: wer früher stirbt is länger tod (gilt auch für windows) __________ wEr FrÜhEr StIrBt IsT lÄnGeR tOt !!!!! |
|
|
||
14.04.2003, 22:43
...neu hier
Beiträge: 3 |
#127
hier noch die dienste, hätte ich doch beinahe vergessen.
SVCHOST.EXE 996 RpcSs SVCHOST.EXE 1172 AudioSrv, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Messenger, Netman, Nla, RasAuto, RasMan, Schedule, seclogon, SENS, ShellHWDetection, srservice, TapiSrv, TermService, Themes, TrkWks, uploadmgr, W32Time, winmgmt, WZCSVC SVCHOST.EXE 1344 Dnscache SVCHOST.EXE 1460 LmHosts, RemoteRegistry, WebClient wie ihr das macht steht ein paar seiten weiter vorn! __________ wEr FrÜhEr StIrBt IsT lÄnGeR tOt !!!!! Dieser Beitrag wurde am 14.04.2003 um 22:44 Uhr von TitoTerrano editiert.
|
|
|
||
16.04.2003, 14:38
...neu hier
Beiträge: 3 |
#128
soooo ich denke nun die lösung des problems gefunden zu haben. ich hab mir die laufenden dienste der svchost.exe von 4 ähnlich configten computern ausgedruckt und verglichen. außer meinem computer laufen alle problemlos. die einzigen dienste die auf den anderen nicht liefen waren die autoras und rasman.exe, wofür die genau sind weiß ich nicht nur irgend was mit remotefunktionen im netzwerk oder so. die hab ich bei diensten auch schnell gefunden und deaktiviert und siehe da nach neustart keine cpuauslastung mehr, und das hält sich nun schon 24h, ich hoffe das es nicht nur mir hilft sondern auch den vielen anderen die das gleiche prob haben.
was lernen wir daraus? nichtmal microsoft selbst weiß was sie da an zeuch gecodet haben. by,by __________ wEr FrÜhEr StIrBt IsT lÄnGeR tOt !!!!! |
|
|
||
19.04.2003, 11:44
...neu hier
Beiträge: 1 |
#129
Wow, bin begeistert! Der erste wirklich sinnvolle beitrag. Thnx Tito. Habs zwar noch nicht getestet aber klingt plausibel!
Sollte es werken gebe ich bescheid. __________ rest in pieces - #latourists @Quakenet ::: feel free 2 join & idle |
|
|
||
23.04.2003, 18:18
...neu hier
Beiträge: 8 |
#130
Moin Leute!
Ich bin auch über Google zufällig zu euch gestoßen. Hab das gleiche Problem gehabt, mein svchost.exe (jedoch die "SYSTEM"-Datei) hat 90% meines Speichers belegt. Hab jetzt alle überflüssigen Dienste ausgeschaltet und anscheinend funktionierts! Allerdings gibt es jetzt ein Problem bei mir: Mein PC reagiert die ersten beiden Minuten nach dem hochfahren extrem träge wenn ich die Eigenschaften meines Netzwerkes aufrufe. Habt ihr ne Ahnung was das sein könnte? MfG CrazyCorsair |
|
|
||
23.04.2003, 22:43
...neu hier
Beiträge: 5 |
#131
AHOI
Das Durchlesen der Beiträge lohnt sich! Danke dafür. Folgendes noch zur svchost.exe: W32/CodeBlue ist ein Internet-Wurm, der sich mit Hilfe einer bekannten Sicherheitslücke im Microsoft Internet Information Server verbreitet. Der Wurm nutzt zunächst die Sicherheitslücke, um Zugriff auf einen nicht lokalen Rechner zu erhalten. Daraufhin kopiert er seine Dateien über FTP auf den neue Host. Diese Dateien werden unter C:\ erstellt und haben die Namen "svchost.exe", "httpext.dll" und "d.vb. Die ersten beiden Dateien haben denselben Namen wie Standardprogramme von Windows. Der Wurm sucht dann nach neuen Hosts, die er infizieren kann. Er prüft dabei zufällig die IP-Adressen, wobei er besonders auf lokale Subnetze achtet. Der Überprüfungsvorgang kann auf dem infizierten Rechner eine längere Verarbeitungszeit in Anspruch nehmen und kann sogar zum Absturz des Rechners führen. W32/CodeBlue fügt der Systemregistrierung den Schlüssel "HKLM/Software/Microsoft/Windows/ CurrentVersion/Run/Domain Manager = c:\svchost.exe" hinzu. Damit wird der Wurm automatisch bei nachfolgenden Neustarts ausgeführt. Er sucht weiterhin den Prozess "inetinfo.exe" und beendet diesen. Der Wurm führt weiterhin einen DSA (Denial of Service Attack)-Angriff auf die Webseite http://www.nsfocus.com zwischen 10.00 und 11.00 Uhr Deutscher Zeit durch. Quelle: http://www.sicherheits-berater.de/2001/0119inews.htm#2 Gruss von Timme |
|
|
||
27.04.2003, 14:35
...neu hier
Beiträge: 8 |
#132
Mir ist folgendes aufgefallen: Bei mir raubt die svchost-Datei nur dann den Speicher, wenn ich am Netztwerk angeschlossen bin. Allerdings nur eine der beiden "System"-Anwendungen... kann mir keinen Reim drauf machen, vielleicht jemand ne Idee...
Die Dienste abschaten da bin ich mir nicht so sicher, da in der oben genannten Anleitung kein Neztwerk berücksichtigt ist... |
|
|
||
28.04.2003, 19:35
...neu hier
Beiträge: 1 |
#133
also, offenbar scheint dieses forum sich noch am intensivsten mit dem problem zu befassen, umso erstaunlicher, dass ich immer noch keine lösung gefunden habe. vielmehr ist es bei mir nicht zutreffend, dass ich nach der deaktivierung von svchost.exe nicht mehr ins netz kann. ich hänge an einem dsl-netzwerk, und der typ aus der nachbarbude, der mit dranhängt, hat auch xp, aber kein svc-problem. stattdessen fällt bei mir nach der deaktivierung komplett der sound aus. auch mit dem proxy kann das nicht viel zu tun haben, hatte das problem schon vorher. offenbar scheint es aber zu helfen, wenn man nach dem hochfahren des rechners ca 1minute wartet, bevor man programme öffnet bzw. schließt (die aus dem autostart-menu). und wenn mir nicht bald jemand hilft, werde ich wahnsinnig!
|
|
|
||
26.05.2003, 11:24
...neu hier
Beiträge: 1 |
#134
hallo leute,
ich hab alle beiträge zu diesem thema gelesen. ich habe das selbe problem auf einem rechner mit windows xp und sp1. es ist erst aufgetreten, nachdem das sp installiert wurde. was ich zu diesem thema sagen kann ist: es hat nichts mit einem virus oder trojaner zu tun. in den meisten fällen die hier beschrieben wurden tritt das problem auf, wenn eine verbindung mit dem internet besteht. "gmt" läuft auch auf meinem rechner, obwohl ich kein gigabyte board habe. mit gmt ist greenwitch-time gemeint, zu mindest bei mir. das ist der dienst für den zeitabgleich, den xp machen möchte. anscheinend hängt es mit den diensten zusammen, die in der svchost-sammlung gestartet werden. meiner erfahrung nach ist es nicht von einer firewall oder einem anti-viren-programm verursacht worden, wobei diese programmen, insbesondere symantec antivirus erhebliche probleme verursacht. das problem ist hardware-unabhängig. bei mir ist das problem noch nie auf einem rechner aufgetreten, der über ein lan hinter einer firewall, ins internet geht. kann es sein, dass das problem aufgrund der internet-freigaben oder einem lokalen internetzugang ist? der vorschlag, die nicht benötigten dienste zu deaktivieren hat bei mir nichts gebracht. ich denke, um eine lösung für dieses problem zu finden, sollte man sich erst einmal über die ursache gedanken machen. ein problem zu lösen ohne den grund des problems zu kennen ist für mich keine akzeptable lösung. in diesem sinne ... p.s.: bin neu hier ... __________ Never touch a running system Dieser Beitrag wurde am 26.05.2003 um 11:24 Uhr von Gironymo editiert.
|
|
|
||
26.05.2003, 16:14
...neu hier
Beiträge: 5 |
#135
Wo ich mir das so durchlese erkenne ich einiges wieder, dass bei einem Bekannten zu ähnlichen Erscheinungen führte. Auf seinem Rechner, der mit XP lief wurde im Taskmanager "WinNet.exe" angeführt (oft 90%-95% der Systemressourcen), nachdem beenden der Task war sie für den Zeitraum bis zum nächsten Start erstmal weg und der PC lief normal, nach dem Neustart brauchte er aber fast 5 minuten zum laden. Das Programm entfernt man daherwie folgt:
Start->Ausführen->regedit eintippen und Ausführen->HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->Run Hier den winnet.exe Eintrag der aufgelistet wird löschen und beim nächsten Windowsstart sollte winnet.exe nicht mehr geladen werden. HINWEIS: Damit macht man nix kaputt WinNet ist eine Spyware, die sämtliche Aktionen, die man im I-Net tätigt beobachtet. Mehr Infos gibts auch hier: http://www.greatis.com/regrun3useless.htm Da steht zu winnet.exe CommonName Sidebar from www.commonname.com Advertising Spyware. The uninstall program requires one to access the internet, get a validation code, and then enter this code to get the application to unload. None of this is stated upfront when installed. Und zum Thema svchost.exe bin ich doch glatt im Forum von PC-Welt über folgendes gestolpert: http://board.protecus.de/t12.htm Da steht schon ne Menge zu dem Thema ;-) __________ "Ich schlafe nachts früh ein, dafür stehe ich morgens spät auf. Nur nachmittags liege ich stundenlang wach." |
|
|
||
Norton 2002 fand nichts
ad-watch fand beim scan auch nichts, im scan-log wurde svchost.exe aber als Trojaner aufegführt.
Über Firewall habe ich sofort verhindert, daß svchost.exe sich mit dem Internet verbindet
Beim nächsten Start meines Rechners war
a) Mein Norton 2002 gepatcht und mithin schrott
b) der Ordner System32 "leer" , das heißt, die Dateien werden nicht mehr angezeigt
c) die "suchen" funktion im Startmenu deaktiviert
d) das DFÜ Netzwerk und DSL Verbindung verschwunden, der entsprechende Ordner ebenfalls "leer"
bei dem Versuch eine neue Verbindung zu erstellen, erscheint die Meldung ich sei bereits mit dem Netz verbunden - Verbindung angezeigt wird natürlich keine.
Keine Ahnung, was für ein Teil das ist - meine Sicherheitssoftware hat von Trojaner über Dialer bis Data-Miner alles mal angezeigt.
Irgendwer ne Idee?????