PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : svchost.exe macht Probleme


MetalWarrior
2004-05-25, 23:58:32
Ich habe gestern mal meine Festplatte formatiert und WinXP neu installiert. Komischerweise war das System ein paar Minuten nach jedem Neustart plötzlich brutal langsam, vergleichbar mit einem PIII, obwohl ich einen XP3000+ habe.

Nach einiger Suche nach dem Problem fiel mir auf, dass die Datei svchost.exe gleich mehrmals ausgeführt wird. Und eine davon fraß ständig 98% CPU-Leistung.

Als ich diesen Prozess beeendete, kam der von gewissen Viren bekannte Bildschirm (PC wird in 1 Minute heruntergefahren, blabla). Wenn ich diesen Vorgang dann mit "shutdown -a" abbreche, läuft der Computer ganz normal weiter und auch mit voller Geschwindigkeit.

Ich habe sowohl eine Software-Firewall (Kerio) und auch ein Antivirenprogramm (Antivir) in der jeweils neuesten Version. Wegen dem virentypischen Fenster schließe ich darauf, dass mein System irgendwie infiziert ist. Aber Antivir kann komischerweise nix finden :(

cYcRus
2004-05-26, 00:12:22
Das svchost.exe mehrmals läuft ist völlig normal.
Nur musst du darauf achten, das sie aus C:\Windows\System32 Ordner stammen, dann wurden sie von Windows hervorgerufen.

MetalWarrior
2004-05-26, 00:22:10
ok, baer warum frisst eine davon 98% CPU-Leistung? Und ist die Meldung normal (die wegen dem runterfahren), wenn ich den Prozess beende? Für was ist er überhaupt gut? Win funktioniert ja auch so. Wie kann ich sehen, von welchem Verzeichnis die Datei ausgeführt wird?

Blue
2004-05-26, 00:34:52
Könnte das nicht dieser Blaster - oder wie der hiess - Wurm sein, welcher über ne Sicherheitslücke ins System kommt? Den mußte man denn mit nem extra Programm entfernen + Windows Update drauf machen. Hatte genau dasselbe nach meiner Neuinstallation. Nur kurz im Internet und schon drauf - so schnell konnt ich garnich updaten...

Blue

Lokadamus
2004-05-26, 00:37:38
mmm...

Hier (http://frankn.com/html/svchost_exe.html) steht beschrieben, was sie macht ... mit Hijackthis kannst ein Log erstellen, posten und wir schauen nach, ob etwas ungewöhnliches dabei ist (klick Signatur für Link) ... es ist auch normal, das Windows heruntergefahren werden möchte, wenn diese Datei einfach abgeschossen wird oder einen Fehler produziert ...

Denniss
2004-05-26, 00:48:07
Anscheinend hat Deine Firewall versagt und nicht alle Ports dichgemacht und schon waren Blaster oder hier wohl eher ein Sasser-Typ drauf ( über die massenhaft offenen Ports bei WindoofsXP) .
Also Virenkiller laufen lassen und den Schädling versuchen zu entfernen .
Dann auf einem anderen udn sicheren Rechner die Patches für XP gegen diese Würmer runterladen und auf Deinem Rechner installieren .

MetalWarrior
2004-05-26, 00:54:23
Ich habe, wie gesagt, Antivir in der neuesten Version und das findet keinen Virus. Es ist ja egal, ob ich die Sicherheitspatches hab oder nicht, das Antivirenprogramm sollte ja trotzdem erkennen, ob mein System befallen ist.

@Lokadamus: Danke für den Hinweis, ich habe jetzt mal ein Log erstellt:

Logfile of HijackThis v1.97.7
Scan saved at 00:50:47, on 26.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Dokumente und Einstellungen\Adolf Hitler\Desktop\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CherryKeyman] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html

MetalWarrior
2004-05-26, 00:56:09
Ich hab übrigens bei dieser Installation erstmals den neuen nforce-Treiber installiert. Könnte es sein, dass dieser Probleme macht?

Lokadamus
2004-05-26, 03:11:23
mmm...

Also, Spyware oder Viren und ähnliches kann ich bei dir nicht finden. Ansonsten hast du noch nicht SP 1 drauf, was eventuell ein Grund für Probleme sein kann. Ich weiss nicht, ob die nforce- Treiber besser laufen, wenn SP 1 installiert ist (meisten wird sowas mittlerweile vorrausgesetzt). Ansonsten weiss ich auch nicht, wofür die NvMixerTray.exe ist, müsste für die Onboardsoundkarte gut sein. Wenn es für die Grafikkarte ist, ist es fatal und müsste in der Ereignisanzeige einige Fehler melden (du lädst auch einige ATI- Sachen) ... und dein Benutzername ist ... mmm ... etwas schlecht gewählt, würde ich mal sagen ...

MetalWarrior
2004-05-26, 10:03:17
erstmal, mein Benutzername ist natürlich nicht ernst gemeint. Ich hab halt einen durchaus eigenartigen Humor ;)

Den SP1 hab ich jetzt drauf und diverse Sicherheitsupdates auch. Vorerst hatte sich nichts geändert, der Fehler bestand weiterhin. Als ich dann noch den Blaster-Patch installiert habe (ist der nicht beim SP1 dabei?), ist das Problem verschwunden. Obwohl ich den Wurm ja eigentlich gar nicht habe, den hätte jedes Antivirenprogramm finden müssen, so populär wie der ist. Sehr mysteriös....

Nvmixer ist in der Tat das Tool für den Onboard-Sound. Es können ja auch schlecht irgendwelche alten Grafiktreiber übrig sein, wenn ich WinXP neu installiert habe.

Lokadamus
2004-05-26, 12:51:53
mmm...

Nö, das SP1 ist im September 2002 (http://www.heise.de/newsticker/meldung/30565), SP 1a im Mai 2003 (http://www.heise.de/newsticker/meldung/34241) veröffentlicht worden, Blaster erst August 2003. Allerdings sollte der Blasterpatch durch das Windowsupdate automatisch installiert werden ... komisch, naja, jetzt funzt es bei dir wieder alles, wenn ich es richtig verstanden habe ...