svchost.exe 99% CPU Nutzung?!

Hallo.

Wie es der Titel schon sagt.

ich habe soeben Win 2000 neu installiert, davor normal formatiert, und noch nicht viel gemacht auf dem PC.
Ich habe lediglich ICS eingerichtet, was nun auch gut funktioniert, und Irfanview installiert, sonst noch absolut nichts !!!!

Nun habe ichs chon alles voll im Taskmanager mit dingen die ich sonst nicht hatte, unter anderem eben 2 mal die svchost.exe, eine davon braucht 99% der CPU, und auch sehr viel vom RAM

Der PC laggt dementsprechend, seiten im internet bauen sich langsamer auf als mit einem 14,8 K Modem

Hat einer eine Idee?

Ich muss das dringend wegbekommen

Danke euch schonmal.

Grüße
Sven

 

Versuche mal das hier:
http://www.cumba.de/web1/comp_svchost.htm] Svchost.exe verschlingt viel CPU Zeit
Gruß deoroller

 

Hallo nochmal Deoroller.


Nun, dieser Link ist an für sich nicht schlecht, jedoch killt er den Task nur alle paar Minuten, aber es muss doch eine erklärung dafür geben das ich dieses problem habe oder?

Liegt es am Servicepack 4?

Den habe ich installiert, davor war das problem nicht, jedoch habe ich den anschliessend nach Windows installiert.

Ich würde das Problem gerne ganz beheben und nicht nur etwas installieren das den Task immer wieder killt

Noch andere Tipps?

Grüße

Sven

 

Glaube ich nicht.
Wenn es daran liegt, könntest du den SP4 in die Win2K-CD integrieren, so dass bei der Installation gleich Win2kSP4 installiert wird.
Das habe ich auch gemacht und so gleich mal 200MB Speicherplatz eingespart.
Wie das geht, steht hier:
http://www.wintotal.de/Artikel/w2ksp4/w2ksp4.php

Gruß deoroller

 

argh Deoroller

Das weiß ich schon wie das geht

Aber nun is es ja schon so, will ja nicht wieder alles neu machen müssen.

Will nur das die svchost.exe nicht soviel CPU braucht

Ich habe unter anderem noch andere Tasks die ich nicht kenne und die ich eigentlich noch nicht hatte.


SVCHOST13.exe

wuamgd.exe
bot.exe

Was um alles in der welt soll das alles?
Der PC is grade mal 10 min online und servicepacks so wie paar sicherheitsupdates sind drauf und der PC ist schlimmer als vor dem formatieren?


Kann doch nicht sein oder?


Ich brauche dingend Hilfe die mich weiter bringt.
Weiter im Sinne von 99% CPU Nutzung im Leerlaufprozess

Grüße

Sven

 

Hallo,

die von dir erwähnten Tasks sehen nach Malware aus. Besorge dir Hijackthis und poste das Log-file.

http://www.net-integration.net/tools/hijackthis.html

 

Das ist alles nicht mehr normal.


Nun habe ich auf dem Clientrechner das Problem das explorer.exe 99% CPU nutzung braucht.

Nun geht an keinem rechner mehr richtig was

Ich könnt echt ausflippen wenn ich nur an microsoft denke

Oder die Leute die nur son blödsinn machen

Ich poste die log dann gleich

bis gleich

Sven

 

Malware :atomrofl:



Vielleicht sollte man alle Patches usw. Virenscanner, Firewall etc. auch noch installieren, bevor man seinen Rechner zur Jagd frei gibt.

Gruß deoroller

 

Also gut.

Hier ist mal die Log vom Hostrechner, der das problem mit der svchost.exe hat.



Logfile of HijackThis v1.98.0
Scan saved at 23:30:40, on 06.07.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\bot.exe
C:\WINNT\System32\internat.exe
C:\WINNT\System32\wuamgd.exe
C:\WINNT\System32\SVCHOST13.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\msconfg.exe
C:\WINNT\system32\tftp.exe
C:\WINNT\system32\tftp.exe
C:\WINNT\system32\tftp.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis\HijackThis.exe
C:\WINNT\System32\WinFixd32.exe
C:\WINNT\System32\PDSched.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] bot.exe
O4 - HKLM\..\RunServices: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] bot.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] bot.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft Message Machine] SVCHOST13.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C35ADC3-15A7-4E50-8221-F6F9DA6F4437}: NameServer = 217.237.150.33 194.25.2.129
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] bot.exe
O4 - HKLM\..\RunServices: [Microsoft Message Machine] SVCHOST13.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] bot.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] bot.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Microsoft Message Machine] SVCHOST13.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C35ADC3-15A7-4E50-8221-F6F9DA6F4437}: NameServer = 217.237.150.33 194.25.2.129

Nachher kommt die Log vom Clientrechner

grüße

Sven

 

Blind getippt, Du bist stolzer Besitzer eines AgoBots oder mehrerer anderer Würmchen.

Schön dass Du ICS eingerichtet hast, aber Du solltest Dich VOR einem Internet-Zugriff um Deine Sicherheit kümmern. Also:

- Zoneneinstellungen für Internet RESTRIKTIVST
- letztes SP und letzte Patches (von CD)
- eine Pers.FW (manche sagen, es ist Schlangenöl, egal)
- ein AV-Scanner (on-access)

- Port-Check (http://scan.sygate.com/)
- Zoneneinstell. für Vertrauenswürdig anpassen
usw.


Ach ja. Du solltest nicht böse auf M$ sein. Viele Leute sind böse auf Dich, weil Du eine weitere Virenschleuder ahnungslos ins Internet stellst. Nur mal so.

 

Naja, übertreiben sollte man mal nicht !

Der PC war gerade 10 min vorher formatiert worden, ich war bei microsoft sicherheitspatches am downloaden, das wars !!!!!!!!

Diese muss ich ja erst mal downloaden um sie aktivieren zu können.

Wo und wie ist hier zu sehen was ich für Würmer habe?

Und auf Microsoft sauer sein ist ja gar nicht ganz so ohne grund, mit Linux hatte ich diese Probleme Nie !!!!!!!!!!!!

Was genau muss ich nun tun?

Neu fomatieren?

Welche Tools?

Warum hatte ich 10 Jahre bisher nie Probleme mit dem Internet obwohl ich KEINE Firewall oder sowas hatte?

Was ist mit Zonelabs?

Ist die FW zu empfehlen?


Welche Tools, oder welche Antiviren Programme sollt eich haben?

Danke im voraus

Grüße

Sven

 

bot.exe
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=125306

Gruß deoroller

 

Lieber Notori,

Du scherzt. 10 Min. sind eine Ewigkeit. Seit Blaster reicht für eine Infektion 1 (EINE) Sekunde. Seitdem (und den Modif. von Phatbot etc.) brauchst Du nichts klicken, es reicht die Anwesenheit im http://WWW.


*SNIP*

> Was ist zu tun?
Neues System? => Also kein Verlust. => Neu machen.

> Was genau muss ich nun tun?
ICS erst einsetzen, wenn EIN (=ICS-Host) System sicher ist. Bis dahin...


Ein Übergangssystem herstellen.
------------------------------------------------
- Partitionieren + Formatieren (per Diskette)

- w2000 inst. + SP4
+ Zoneneinstellungen wie erzählt RESTRIKTIVST

- Pers.Firewall inst.
. Lernmodus zum reagieren können
. Voreinstellung: alles blocken
. Aus dem Lernmodus gezielt freischalten
...falls Du an dieser Stelle keine hast, verloren*.

- PPP(oE) usw. also Internetzugang ermöglichen
. keine Post abholen (OE benutzt 'eingeschränkte Sites')
... frühestens jetzt www-Zugang

- kompletter Check (http://scan.sygate.com/)
. die haben auch ne Firewall (IMHO keine schlechte)

- AV-Inst. mit neuesten Sigs.
. On-Demand-Check (und on-access enablen)

- M$ als vertrauenswürdig nehmen + entspr. Zone anpassen
. Patches holen (und wenn Du gelernt hast -> CD-RW)
. Über den Bau einer 'gepatchten-2000-CD' s. ?.. c't

... usw. ...

- Am Ende! richte ich ICS ein.
. Bedenke, der ICS-Host ist Deine Haustür.
... Überlege den Kauf eines Breitbandrouters (40,- Euronen)
. ICS ist eine leidige M$-Gate-Krücke


Danach:

- Hältst Du Deine AV-Sigs aktuell (täglich -> Taskplaner)
- Checkst Du die Traffic-Logs Deiner FW.
- Bist Du stets auf der Suche nach Supp.CDs (Knoppix etc.)


Falls ich etwas vergessen habe, bitte ergänzen.

Ach ja. - Die Frage mit LINUX habe ich nicht beantwortet. Nur soviel: Code wird geschrieben für weiteste Verbreitung / Schädigung. Da ist IE top. BTW gibts ausser div. BSDs ca. 50.000 exploitable GETCH im Kernel. Du vermutest richtig: Das Risiko sitzt VOR der Gurke. ICS wird allerdings mit LINUX / BSD (UNIX) besser gelöst.


PS.:
--------------------
(*) bedeutet: Entweder aus Zeitschriften-CDs eine ziehen oder von einem sicheren Pc eine besorgen lassen.

 

mhm..


Hab ich schon erwähnt das ich kein Mitarbeiter der Nasa bin?

Ich kam bisher ganze 10 Jahre ohne eine FW aus, geschweigedenn das ich jemals schlimmeres auf dem PC hatte als ein paar hijacker.

Selbst msblast habe ich damals gut, schnell und sicher wieder aus dem System entfernt.

Sorry, sei mir nicht böse, aber wie du das hier beschrieben hast müßte ich ja nun noch in eine Drogerie gehn und Gummihandschuhe besorgen damit ich meinen PC ja nicht mit der blosen hand berühre ?!?!




Eine FW ist schön und gut, aber das Problem ist das sie sehr vieles an Datenstrom blockt was ich aber brauche.

Nun, ich habe jetzt noch die gelegenheit mit dem befallenen System einige Dateien aus dem internet zu saugen, dann Brennen , formatieren und neu installieren

Grüße

Sven

 

So.

Habe nochmal alles neu gemacht, und Servicepack direkt installiert ect.

Dann habe ich wieder diesen Patch
Windows2000-KB823980-x86-DEU
installiert, und wieder hatte ich 99% CPU Nutzung auf der svchost.exe

Ich hatte aber keine bot.exe oder sowas wie gestern.

Und das obwohl ich noch NICHT online war, sondern nur dne PC eingerichtet habe.

Nun, ich habe die Datei

Windows2000-KB823980-x86-DEU

wieder gelöscht und die CPU Nutzung liegt auf dem Leerlaufprozess bei 99% so wie es auch sein soll.
Entweder is es grade nur Zufall, oder es lag wirklich an dem Sicherheitsupdate von Microdoof ups ich meine Soft

Sven

 

Versuch doch mal die Dienste zu optimieren.
Vielleicht hilft es.
http://www.windows-tweaks.info/html/services.html

Gruß deoroller

 

So.

Nun bin ich endlich fertig.

Ich hatte 5 oder 6 Würmer drauf, unter anderem sprach ein online Virenscanner auch von Malaware

Es waren die bot.exe die von einem Wurm kam, sowie auch die stdbot.exe usw usw

also jede Menge Müll drauf, obwohl ich heute vormittag nochmal formatiert hatte.

Habe nun 6 mal Antivir drüber laufen lassen, und einige andere Virenscanner, laut denen ist nun alles weg.
Das System läuft nun auch wieder optimal.


Danke nochmal an alle.

Falls sich wieder was ändern sollte melde ich mich

Grüße

 

FYI: http://support.microsoft.com/?kbid=823980

Wurde 823980 nicht 2 Monate später durch 824146 ersetzt?

 

sorry, aber das weiß ich nicht.

Ich glaube im nachhinein auch nicht das es daran lag, wie oben schon erwähnt hatte ich ja jede Menge Würmer und anderes Zeug auf dem PC

Grüße

Sven