svchost.exe

Hallo Leute!

Win2000 führt bei mir einen Prozess namens svchost.exe aus, und der zieht die komplette Leistung!
Die arme alte 800MHz Duron CPU ist am Anschlag! Was ist das, und wie kriegt man das weg!?

 

Klingt stark nach ner Infektion.

Lass mal nen Virenscanner drüberlaufen, teste dein System mit Spybot S&D und Ad-aware. Erstelle ausserdem ein Hijack-This log und poste es hier.


Stell dich schon mal darauf ein dass du dein System neu aufsetzen musst.

 

svchost.exe ist zunächst mal ein ganz normaler Windows-Prozess, der als Container eine ganze Reihe von Diensten mit sich bringt und auch in mehreren Instanzen auftreten kann.
Um deine Situation genauer zu analysieren, solltest du auf die Hinweise dieser Seite zurückgreifen :

http://www.cumba.de/web1/comp_svchost.htm

 

Danke euch Männer, für eure Hilfe! Aber:
Ich habs schon erledigt, war was ganz einfaches! Was ich gemacht hab:
-Per Windoof-CD in den DOS Modus
-format c:\

Ich kann das Zeug einfach nichtmehr sehen! Wenn man sich in seinem Leben zu viel mit diesen Drecks Kisten beschäftigen kann, dann bin ich soweit!

Bis dann mal...
ankeforever

 

Leute, selbes prob, anderer PC!
svchost.exe steht zwei mal bei den Prozessen, und eins davon permanent zwischen 95 und 99% CPU Auslastung!
Im übrigen springt andauernd mein Virenscanner an (G-Data AVK 2004) und meldet zwei Würmer namens "backdoor.rbot.ag" und "backdoor.rbot.gen"! Allein gestern abend mindestens 10 mal! Hab dann mit Mühe gleich sämtliche Sicherheitsupdates installiert, auch SP4. Ging eher schleppend, weil ja die svchost.exe sämtliche Leistung abzieht... aber schliesslich hats dann doch noch geklappt, seitdem sind die beiden Würmer seltener geworden, aber das svchost problem besteht immernoch!
Mehr Infos und auch Hijack This gibts im laufe des Tages, wenn ich wieder an meinem eigenen Rechner bin! Aber weiss trotzdem jemand was das ist, oder hat/hatte das selbe Problem?

Danke für jede Antwort!

 

Falsches Vorgehen, diese Updates hätten schon vor der ersten Internetverbindung drauf sein müssen.

Setz dein System neu auf nach dieser Anleitung:

--
Den infizierten Rechner sofort von Internet und Heimnetzwerk trennen

Auf einem nicht infizierten System alle Service Packs sowie falls in den SPs nicht enthalten die Patches gegen Blaster und Sasser runterladen und auf CD brennen.

Auf dem infizierten System:
- format c:
- Windows neu installieren
- die Service Packs und Patches von der CD installieren
- nach Anleitung von http://www.ntsvcfg.de/ vorgehen
- Virenscanner installieren (AntiVir und AVG gibts kostenlos)
- sämtliche Passwörter ändern
- über Windows-Update die noch fehlenden Updates installieren
- Spybot S&D installieren und das System damit immunisieren
- die automatische Windows-Update Funktion aktivieren um das System aktuell zu halten
--

 

hab mich mal umgesehen, sieht mir nach dem Blaster Wurm aus! Krieg ich den net auch so weg, ohne das neue Windows zu killen? Wär mir ehrlich gesagt lieber... Hab da grad "blastgui" gefunden, ginge das? Und wie find ich raus obs der überhaupt ist? Fragen über Fragen

 

Neu? Dann ist kann doch eh nix wichtiges verloren gehn.

Wenn man den Warnungen von AVK glauben darf hast du ja mehr als nur einen Schädling auf dem System.
Du kannst da jetzt versuchen von Hand dran zu gehn, aber dann bleibt immer die Unsicherheit ob wirklich alles weg ist und die Frage was die Schädlinge alles angerichtet haben in der Zeit als sie aktiv waren.

Meine Empfehlung ist ganz klar die Neuinstallation.
Du kannst ja Daten die du behalten willst sichern, musst aber beim Zurückspielen Vorsicht walten lassen. Alles durch mindestens zwei Virenscanner prüfen lassen, ausführbare Dateien am Besten gar nicht zurückspielen.



Falls du doch versuchen willst dein System selbst zu reinigen, Google liefert da genug Anleitungen zum Entfernen.


PS: Der Blaster wirds wohl nicht sein, da bei dir der berühmte 60s Countdown ja nicht kommt.

 

Hallo ankeforever,

gerade bei diesem Problem hat sich der Einsatz von Stinger bewährt. Man muß nicht gleich mit Kanonen auf Spatzen schießen ...

Gibt's unter http://vil.nai.com/vil/stinger

Viel Erfolg damit

Und tschüx ...

 

Das mein ich doch auch... Aber: Ich hatte ja dann gestern noch SP4 und die anderen "wichtigen Updates" Installiert, anscheinend hat das doch was gebracht! Der PC is schneller (und zwar viel schneller) als unter XP, und die beiden svchost.exe dümpeln fröhlich um 0%! Problem gelöst, würd ich mal sagen! Auch der Virenscanner hält jetzt still und ist nichtmehr am meckern!

 

Na dann wolln wir mal hoffen dass sich wirklich alles in Wohlgefallen aufgelöst hat. Um sicher zu gehn solltest du diese Liste abarbeiten:

Prüfe dein System mit einem Virenscanner (besser zwei).

Lass zusätzlich noch Spybot S&D sowie Ad-aware scannen.

Erstelle mit HijackThis nach dieser Anleitung http://hjt.klaffke.de/ ein Log und poste es hier.


Nur um auszuschließen dass da noch was übrig ist.

Und ändere sämtliche Passwörter die du hast...

 

Okay, also AVK hab ich eh sofort drüberlaufen lassen (also Kaspersky und BitDefender), nix gefunden! Auch System Mechanic SpyHunter findet nix, und hier ist das Hijack log von meinem Rechner:

Logfile of HijackThis v1.98.0
Scan saved at 18:50:15, on 20.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Treiber\Keyboard\SYKCA290.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Treiber\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Office51\SOINTGR.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\PROGRA~1\SYSTEM~1\PopupStopper.exe
C:\Treiber\Keyboard\KBOSDCtl.EXE
C:\Treiber\Scanner\AM32.exe
C:\Treiber\Keyboard\MxrCtrl.EXE
C:\Treiber\Keyboard\CDRomMnt.EXE
C:\Treiber\Keyboard\SYKeyCnt.EXE
C:\Programme\OnlineCounter 2004\OnlineCounter.exe
C:\WINNT\system32\ntvdm.exe
C:\PROGRA~1\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\ICQ\ICQ.exe
C:\Programme\totalcmd\TOTALCMD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KeybCtrl] C:\Treiber\Keyboard\SYKCA290.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\PROGRA~1\Office51\SOINTGR.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [System Mechanic Popup Stopper] "C:\PROGRA~1\SYSTEM~1\PopupStopper.exe"
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O4 - Global Startup: Action Manager 32.lnk = C:\Treiber\Scanner\AM32.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6251AEDD-F8EF-41AC-96CC-5E3115C04590}: NameServer = 217.237.151.161 194.25.2.129


In diesem Sinne

 

Hast du ne Creative Soundkarte? Dann is das Teil harmlos.

Wenn nicht is es verdächtig.

Der Rest vom Log sieht sauber aus.


Und für die Zukunft:

 

Das Teil is harmlos! SoundBlaster PCI 512...
Dann bin ich ja froh dass das noch hingehauen hat!
Bis dann

ankeforever