CPU Auslastung durch Virus?????

#0
02.11.2003, 00:05
...neu hier

Beiträge: 3
#1 Hi Leute

Ich hab ein kleines grosses Problem und zwar folgendes:

Wenn ich mir die CPU Auslastung anseh hab ich alle 4 bis 5 Sekunden einen riesen Sprung in der Auslastung auch wenn ich nichts am PC mach!!! Die Auslastung springt von 2 bis 4% auf 50-60% und dann gleich wieder runter auf 2-4%. Und natürlich ruckelt dadurch jedes Spiel und jede Anwendung die ich aufdreh. Wenn ich mir die Prozesse anseh dann ist es die SCVHOST.EXE die diese kurzzeitigen Sprünge in der Auslastung verursacht.....

Könnte das ein Virus sein?? Wenn ja was kann ich tun, kennt ihn vielleicht jemand und kann mir weiterhelfen??

Bitte helft mir......

mfg Mentor
Seitenanfang Seitenende
02.11.2003, 01:28
Member

Beiträge: 41
#2 Hast du Win XP? Welche Programme laufen nebenbei? FW? AV?
Die SVCHOST.EXE dürfte im Taskmanager eigentlich öfter als nur einmal laufen... Welche der vielen macht Probleme? Hast du schon mal einen aktuellen Virenscanner drüber laufen lassen???


P.S. Es gibt bereits einen / mehrere Threads über das Thema... Suche benutzen!

EDIT: Heisst die Datei SCVHOST oder SVCHOST?? Letztere ist das Original von Windows... die andere klingt verdächtig.
__________
Hab ich "NULL" gewählt?
Dieser Beitrag wurde am 02.11.2003 um 01:31 Uhr von Kimmi editiert.
Seitenanfang Seitenende
02.11.2003, 01:37
...neu hier

Themenstarter

Beiträge: 3
#3 Jepp, hab Xp...

Naja ich hab gesehen ihr habt ja ne lange Diskussion über die SVCHOST.EXE gehabt aber bei mir gehts um die SCVHOST.EXE!!!! Die gibts bei mir nur einmal.
Hab sie im abgesicherten Modus gelöscht und nu is das Problem weg......ich hab mittlerweile gehört die SCVHOST.EXE solls ja eigentlich gar ned geben, sondern nur die SVCHOST.EXE, stimmt das???

Virenscanner hab ich drüberlaufen lassen der hat das Files nie als gefährlich oder so erkannt... hab die File sogar eingeschickt auf:
http://www.kaspersky.com/remoteviruschk.html
aber auch da hat sich nix herausgestellt....

Hab eigentlich nix nebenbei laufen, hab nur immer Rechner hochgefahren und da war eben diese SCVHOST.EXE die immer die CPU ausgelastet hat alle paar Sekunden...die war von heut auf morgen da...lol....

mfg Mentor
Dieser Beitrag wurde am 02.11.2003 um 01:37 Uhr von Mentor4 editiert.
Seitenanfang Seitenende
02.11.2003, 01:41
Member

Beiträge: 55
#4 das ding habe ich auch am rechner, wundere dich nicht wenn du später probleme bekommst, oder er wieder auftaucht....
ist bei mir der fall...

du hast auch files nicht kopieren können, oder?
Seitenanfang Seitenende
02.11.2003, 01:45
Member

Beiträge: 55
#5 es laufen zwei prozesse im taskmanager, komischerweiße heißen sie auch:
scvhost.exe 2mal...
schaumal in deinem Winnt verzeichnis, ob diese dateien auch drinnen sind:
welcome.exe
winrep.exe
wenn du sie löscht, dann erscheinen sie wieder.... stimmts? sie kopieren sich selber wieder hin?

Grüße
Seitenanfang Seitenende
02.11.2003, 02:09
Member

Beiträge: 41
#6 Achtet auf die Reihenfolge der Buchstaben. S C V HOST oder S V C HOST. S V C HOST ist das Original.

Der Wurm W32/Agobot-S erstellt z.B. eine Datei mit dem Namen SCVHOST.EXE. Hinter dem Wurm steckt außerdem noch ein IRC-Trojaner.
Wie auch der Blaster-Wurm nutzt Agobot eine ähnliche Routine um auf den PC zu gelangen. Die Wurm-Datei SCVHOST läuft unterdessen als Server. (Für alle die das Trojaner-Prinzip noch immer nicht geschnallt haben: Ein Trojaner besteht aus einem Client, der Steuerung, und einem Server, dem "Opfer". Mit Hilfe eines Servers kann der dazugehörende Client Verbindung aufnehmen.)
Damit der Server auch wirklich bei jedem Windowsstart aktiv ist, erstellt er folgende Registry Einträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe

Habt ihr auch einen Prozess/Dienst namens Cfgldr? Gehört auch zum Wurm/Trojaner.

Sobald Agobot gestartet wird, versucht er sich mit einem IRC-Server und einem bestimmten Kanal zu verbinden. Er läuft daraufhin im Hintergrund und ermöglicht einem Remote-Eindringling den Zugriff auf und die Steuerung über den Computer via IRC.

BTW: Trojaner können x-beliebige Dateinamen haben, der Server eines Trojaners kann auch schiessmichtot.exe oder mirfaelltkeinrichtigernameein.exe heissen.
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 10:28
Moderator

Beiträge: 7798
#7 SCVHOST ist mehr als nur verdaechtig, der Name schreit gerade zu "Malware". Wenn euer Virenscanner ihin nicht findet, schickt die Datei einfach an den Support eures AV-Scanners. Bei KAV waere das zum Beispiel: newvirus@kaspersky.com

[Werbung on]
rokop-security.de bietet auch soetwas, ihr koennt die Datei hierhin schicken: virus@protecus.de .
[Werbung off]

Der Service ist interessant, wenn man Dateien hat, von denen man denkt, sie koennten einen Virus enthalten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.11.2003, 10:49
Member

Beiträge: 41
#8 Von Rokop-Security hab ich bis jetzt auch nur gutes gehört ;)
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 13:00
...neu hier

Themenstarter

Beiträge: 3
#9 to 4cray:

Das mit der Welcome und winrep.exe. muss ich mal nachgucken *gg*
Aber die SCVHOST.EXE hab ich im Abgesicherten Modus gelöscht und bis jetzt is sie nicht mehr aufgetaucht, der PC rennt wieder einwandfrei ohne irgendne CPU Auslastung jedenfalls ungewollte CPU Auslastung *ggg*

to all:

Was ist den zur Zeit der beste Virenkiller?? Ich mein, ne dauerhafte Lösung war das löschen der Datei ja sicher nicht..........

mfg Mentor
Seitenanfang Seitenende
02.11.2003, 13:04
Moderator

Beiträge: 7798
#10 Das ist wohl so eine Glaubensfrage. Meine Top3 sind derzeit: Kaspersky, Mcafee und RAV.

In Bezug auf eingesendete verdaechtige Dateien ist der Support von Kaspersky(.com) sehr schnell und gut und auf Mcafees ist nicht schlecht, wenn man den Deutschen erwischt.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 02.11.2003 um 13:08 Uhr von raman editiert.
Seitenanfang Seitenende
02.11.2003, 15:56
Member

Beiträge: 41
#11 Kaspersky ist recht gut aber wie jeder andere muss auch der immer regelmäßig geupdatet werden.
Ich verwende NAV und bin eigentlich sehr zufrieden mit dem, aber der Support ist unterste Schublade. Ich würde dir zu Kaspersky raten, mit McAfee hab ich teilweise schon sehr miese Erfahrungen gemacht ;)
__________
Hab ich "NULL" gewählt?
Seitenanfang Seitenende
02.11.2003, 16:02
Moderator

Beiträge: 7798
#12 BTW Kaspersky kaufen: http://www.rokop-security.de/board/index.php?showtopic=996&hl=
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende