svchost zieht 99% oder cpunutzung

#121 noch ne svchost.exe Variante - sicherlich die aggressivste. Und ich dämel bins auch noch selbst Schuld, weil ich im Popup Hagel einmal zuviel auf ok geklickt hab: Ad-Watch schlug sofort alarm: svchost.exe (in winNT/System32).
Norton 2002 fand nichts
ad-watch fand beim scan auch nichts, im scan-log wurde svchost.exe aber als Trojaner aufegführt.
Über Firewall habe ich sofort verhindert, daß svchost.exe sich mit dem Internet verbindet


Beim nächsten Start meines Rechners war
a) Mein Norton 2002 gepatcht und mithin schrott
b) der Ordner System32 "leer" , das heißt, die Dateien werden nicht mehr angezeigt
c) die "suchen" funktion im Startmenu deaktiviert
d) das DFÜ Netzwerk und DSL Verbindung verschwunden, der entsprechende Ordner ebenfalls "leer"
bei dem Versuch eine neue Verbindung zu erstellen, erscheint die Meldung ich sei bereits mit dem Netz verbunden - Verbindung angezeigt wird natürlich keine.

Keine Ahnung, was für ein Teil das ist - meine Sicherheitssoftware hat von Trojaner über Dialer bis Data-Miner alles mal angezeigt.

Irgendwer ne Idee?????

#122 Also um es kurz zu machen: Daten sichern, solange der PC noch startet und das Betriebsystem neu aufsetzen.
Nach den gegebenen Informationen ist es schwer zu sagen, was sich da ereignet hat. Evtl hat die Sicherheitssoftware einen Fehler begangen, oder Du hast tatsächlich einen Virus, Dialer oder "sonst was" auf dem PC ?!
Nachdem der Inhalt des System32-Ordners verschwunden ist, ist die Integrität vieler Programme und des Systems nicht mehr zuvelässig gegeben.
Ich denke, es macht keinen Sinn irgendwelche Wiederherstellungsversuche zu unternehmen.
josch
__________
Durchsuchen --> Aussuchen --> Untersuchen

#123 Hä, du hast der svchost den Internetzugriff verweigert? Wie kommst du da ins Netz???
Ansonsten klingt das echt hart. Schließ mich da joschi an, da hilft wohl bloss noch format c:
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#124

Zitat

Evil postete
Hä, du hast der svchost den Internetzugriff verweigert? Wie kommst du da ins Netz???
Ansonsten klingt das echt hart. Schließ mich da joschi an, da hilft wohl bloss noch format c: :-\

Nachdem in svchost geblockt hatte natürlich gar nicht mehr. Aber lieber das, als wenn der Trojaner (oder was auch immer) frei kommunizieren kann, sag ich. Nach dem Neustart (mit den oben beschriebenen fatalen Folgen) wurde die svchost.exe als Prozeß übrigens auch nicht mehr angezeigt. Gefunden hat ihn nur (neben meiner Firewall) immer wieder adwatch, das als Hersteller der svchost interessanterweise "Cydoor" angab. Und jeder weiß ja nun, daß Cydoor Technologies zu den Dreckschleudern im Netz zählt.

Inzwischen hab ich format c:/ in der Tat durchgeführt. Die Datensicherung war noch ein Problem, weil auch alle drag&drop funktionen deaktiviert waren und Brennsoftware nicht mehr funktionierte. Neuinstallation von Brenn- oder Anti Viren Software war wegen zerlegtem Windows-Installer auch nicht mehr möglich.

greetz
Yann

#125 Es gibt Notfallcd's die auch aus dem DOS brennen können, weis jetzt bloss nicht ob du unter NTFS oder Fat32 arbeitest! Unter NTFS funzt das natürlich nicht.
Hast du auch mal versucht einen neueren Windows-Installer zu installieren?
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }

#126 Da ich seit kurzer zeit das gute, jetzt schon alte, problem mit der svchost.exe habe, machte ich mir mal die arbeit alle seiten von 1-9 durchzulesen. leider fand ich nur winzige lösungsansätze die mich auch nicht viel weiter brachten.
mhhh, also blieb nix anderes übrig als selber nach einer lösung zu fanden.
wenn man alle merkmale dieses problems zusammenfügt kommmt man darauf das es immer mit netzwerkdiensten oder irgend welchen netzwerküberwachungsprogs zu tun hat. ich kann bei mir den zeitpunkt ziemlich genau festlegen, es fing bei mir an als ich einen proxy auf meinem rechner installiert habe um meinem zweitrechner auch internet zu gönnen.
meiner meinung nach harmonieren 2 oder mehrer dienste nicht miteinander., und verursachen dann eine megamäßige cpu auslastung. das manche leute hier behaupten das müsse so sein, will ich mal unter den tisch kehren,(so ein quatsch hab ich lange nicht mehr gehört)
was sich wohl auch bestätigt hat ist das es kein trojaner, virus oder etwas in dieser richtung sein kann. es ist einer von 1000enden windowsbugs und ich habe keine lust auf das 2. servicepack zu warten bis sich das problem erledigt hat.
Mein ansatz: wenn jeder mal seine dienste die die svchost.exe ausführt posten könnte (wie ich das anschließend mache) ist es vielleicht einfacher den schimmelnden dienst zu entdecken. es wäre vielleicht auch dienlich wenn es mal wer posten könnte der nicht an dieser krankheit leidet, so hätte ich einen besseren vergleich als die vorgabe von microsoft die hier ja schon oft genug gepostet wurde.

so, mehr kann ich auch nicht tun und hoffe es finden sich ein paar vergleiche, damit ich nicht alles von hand ausprobieren muß und tausend mahl neu starten ist auch nicht das tollste.

ich denke das reicht fürs erste

Tito

Ps: wer früher stirbt is länger tod (gilt auch für windows)
__________
wEr FrÜhEr StIrBt IsT lÄnGeR tOt !!!!!

#127 hier noch die dienste, hätte ich doch beinahe vergessen.

SVCHOST.EXE 996 RpcSs
SVCHOST.EXE 1172 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, lanmanserver, lanmanworkstation,
Messenger, Netman, Nla, RasAuto, RasMan,
Schedule, seclogon, SENS, ShellHWDetection,
srservice, TapiSrv, TermService, Themes,
TrkWks, uploadmgr, W32Time, winmgmt, WZCSVC
SVCHOST.EXE 1344 Dnscache
SVCHOST.EXE 1460 LmHosts, RemoteRegistry, WebClient

wie ihr das macht steht ein paar seiten weiter vorn!
__________
wEr FrÜhEr StIrBt IsT lÄnGeR tOt !!!!!

#128 soooo ich denke nun die lösung des problems gefunden zu haben. ich hab mir die laufenden dienste der svchost.exe von 4 ähnlich configten computern ausgedruckt und verglichen. außer meinem computer laufen alle problemlos. die einzigen dienste die auf den anderen nicht liefen waren die autoras und rasman.exe, wofür die genau sind weiß ich nicht nur irgend was mit remotefunktionen im netzwerk oder so. die hab ich bei diensten auch schnell gefunden und deaktiviert und siehe da nach neustart keine cpuauslastung mehr, und das hält sich nun schon 24h, ich hoffe das es nicht nur mir hilft sondern auch den vielen anderen die das gleiche prob haben.

was lernen wir daraus? nichtmal microsoft selbst weiß was sie da an zeuch gecodet haben.

by,by
__________
wEr FrÜhEr StIrBt IsT lÄnGeR tOt !!!!!

#129 Wow, bin begeistert! Der erste wirklich sinnvolle beitrag. Thnx Tito. Habs zwar noch nicht getestet aber klingt plausibel!
Sollte es werken gebe ich bescheid.
__________
rest in pieces - #latourists @Quakenet ::: feel free 2 join & idle

#130 Moin Leute!

Ich bin auch über Google zufällig zu euch gestoßen.

Hab das gleiche Problem gehabt, mein svchost.exe (jedoch die "SYSTEM"-Datei) hat 90% meines Speichers belegt. Hab jetzt alle überflüssigen Dienste ausgeschaltet und anscheinend funktionierts! Allerdings gibt es jetzt ein Problem bei mir:
Mein PC reagiert die ersten beiden Minuten nach dem hochfahren extrem träge wenn ich die Eigenschaften meines Netzwerkes aufrufe. Habt ihr ne Ahnung was das sein könnte?

MfG

CrazyCorsair

#131 AHOI

Das Durchlesen der Beiträge lohnt sich! Danke dafür.

Folgendes noch zur svchost.exe:

W32/CodeBlue ist ein Internet-Wurm, der sich mit Hilfe einer bekannten Sicherheitslücke im Microsoft Internet Information Server verbreitet. Der Wurm nutzt zunächst die Sicherheitslücke, um Zugriff auf einen nicht lokalen Rechner zu erhalten.

Daraufhin kopiert er seine Dateien über FTP auf den neue Host. Diese Dateien werden unter C:\ erstellt und haben die Namen "svchost.exe", "httpext.dll" und "d.vb. Die ersten beiden Dateien haben denselben Namen wie Standardprogramme von Windows. Der Wurm sucht dann nach neuen Hosts, die er infizieren kann. Er prüft dabei zufällig die IP-Adressen, wobei er besonders auf lokale Subnetze achtet. Der Überprüfungsvorgang kann auf dem infizierten Rechner eine längere Verarbeitungszeit in Anspruch nehmen und kann sogar zum Absturz des Rechners führen.

W32/CodeBlue fügt der Systemregistrierung den Schlüssel "HKLM/Software/Microsoft/Windows/ CurrentVersion/Run/Domain Manager = c:\svchost.exe" hinzu. Damit wird der Wurm automatisch bei nachfolgenden Neustarts ausgeführt. Er sucht weiterhin den Prozess "inetinfo.exe" und beendet diesen. Der Wurm führt weiterhin einen DSA (Denial of Service Attack)-Angriff auf die Webseite http://www.nsfocus.com zwischen 10.00 und 11.00 Uhr Deutscher Zeit durch.

Quelle: http://www.sicherheits-berater.de/2001/0119inews.htm#2

Gruss von Timme

#132 Mir ist folgendes aufgefallen: Bei mir raubt die svchost-Datei nur dann den Speicher, wenn ich am Netztwerk angeschlossen bin. Allerdings nur eine der beiden "System"-Anwendungen... kann mir keinen Reim drauf machen, vielleicht jemand ne Idee...

Die Dienste abschaten da bin ich mir nicht so sicher, da in der oben genannten Anleitung kein Neztwerk berücksichtigt ist...

#133 also, offenbar scheint dieses forum sich noch am intensivsten mit dem problem zu befassen, umso erstaunlicher, dass ich immer noch keine lösung gefunden habe. vielmehr ist es bei mir nicht zutreffend, dass ich nach der deaktivierung von svchost.exe nicht mehr ins netz kann. ich hänge an einem dsl-netzwerk, und der typ aus der nachbarbude, der mit dranhängt, hat auch xp, aber kein svc-problem. stattdessen fällt bei mir nach der deaktivierung komplett der sound aus. auch mit dem proxy kann das nicht viel zu tun haben, hatte das problem schon vorher. offenbar scheint es aber zu helfen, wenn man nach dem hochfahren des rechners ca 1minute wartet, bevor man programme öffnet bzw. schließt (die aus dem autostart-menu). und wenn mir nicht bald jemand hilft, werde ich wahnsinnig!

#134 hallo leute,

ich hab alle beiträge zu diesem thema gelesen.
ich habe das selbe problem auf einem rechner mit windows xp und sp1.
es ist erst aufgetreten, nachdem das sp installiert wurde.

was ich zu diesem thema sagen kann ist:
es hat nichts mit einem virus oder trojaner zu tun.
in den meisten fällen die hier beschrieben wurden tritt das problem auf, wenn
eine verbindung mit dem internet besteht.
"gmt" läuft auch auf meinem rechner, obwohl ich kein gigabyte board habe.
mit gmt ist greenwitch-time gemeint, zu mindest bei mir. das ist der dienst
für den zeitabgleich, den xp machen möchte.
anscheinend hängt es mit den diensten zusammen, die in der svchost-sammlung
gestartet werden.
meiner erfahrung nach ist es nicht von einer firewall oder einem
anti-viren-programm verursacht worden, wobei diese programmen,
insbesondere symantec antivirus erhebliche probleme verursacht.
das problem ist hardware-unabhängig.
bei mir ist das problem noch nie auf einem rechner aufgetreten, der über ein lan hinter einer firewall, ins internet geht.
kann es sein, dass das problem aufgrund der internet-freigaben oder einem
lokalen internetzugang ist?
der vorschlag, die nicht benötigten dienste zu deaktivieren hat bei mir nichts gebracht.
ich denke, um eine lösung für dieses problem zu finden, sollte man sich erst
einmal über die ursache gedanken machen.
ein problem zu lösen ohne den grund des problems zu kennen ist für mich keine akzeptable lösung.

in diesem sinne ...

p.s.: bin neu hier ...
__________
Never touch a running system

#135 Wo ich mir das so durchlese erkenne ich einiges wieder, dass bei einem Bekannten zu ähnlichen Erscheinungen führte. Auf seinem Rechner, der mit XP lief wurde im Taskmanager "WinNet.exe" angeführt (oft 90%-95% der Systemressourcen), nachdem beenden der Task war sie für den Zeitraum bis zum nächsten Start erstmal weg und der PC lief normal, nach dem Neustart brauchte er aber fast 5 minuten zum laden. Das Programm entfernt man daherwie folgt:
Start->Ausführen->regedit eintippen und Ausführen->HKEY_LOCAL_MACHINE->SOFTWARE->Microsoft->Windows->CurrentVersion->Run

Hier den winnet.exe Eintrag der aufgelistet wird löschen und beim nächsten Windowsstart sollte winnet.exe nicht mehr geladen werden.

HINWEIS: Damit macht man nix kaputt WinNet ist eine Spyware, die sämtliche Aktionen, die man im I-Net tätigt beobachtet.

Mehr Infos gibts auch hier: http://www.greatis.com/regrun3useless.htm
Da steht zu winnet.exe

CommonName Sidebar from www.commonname.com Advertising Spyware. The uninstall program requires one to access the internet, get a validation code, and then enter this code to get the application to unload. None of this is stated upfront when installed.

Und zum Thema svchost.exe bin ich doch glatt im Forum von PC-Welt über folgendes gestolpert:
http://board.protecus.de/t12.htm

Da steht schon ne Menge zu dem Thema ;-)
__________
"Ich schlafe nachts früh ein, dafür stehe ich morgens spät auf. Nur nachmittags liege ich stundenlang wach."