Svchost.exe

Liebe/-r Experte/-in,
ich habe seit neuestem ein Problem mit meinem Pc.
Sobald ich den Pc hochgefahren habe und noch keine Programme geöfnet sind, hat meinPc schon eine CPU Auslastung von 100%.

Ich hab den Task Manager geöfnet und dor herausgefunden das, dass Programm svchost.exe (System) dies verursacht.

Ich hab alle Win Updates ausgeschaltet und im Netz nach Lösungsmöglichkeiten gesucht.

Hab das auch alles gemacht, was dort stand, hat aber nix gebracht. Hab in der Systemsteuerung unter Verwaltung, Dienste auch schon die DHCP-Client auf Deaktiviert gesetzt.

Trotzdem immer noch 100%

Hab auch schon diverse Virenprogramme laufen lassen, aber die schaffen es nie, vollkommen durch zu laufen.
-Hijackthis,
-Stinger
-sysclean
-Antivir

Haben Sie eventuell noch eine Idee, was ich machen könnte?
Bin mit meinem Latein so ziehmlich am Ende.

Vielen Dank für Ihre Mühe und Zeit.

Über eine Antwort, würde ich mich sehr freuen.

Mfg

Domi

Hallo Domi,

Es wäre ganz gut noch ein paar Eckdaten zu deinem PC zu wissen.

Betriebssystem,
Peripherie deines PC’s usw.

Gern würde ich mir auch mal das Logfile des Hijackthis ansehen.

Evt. hilft dir auch das weiter:
http://support.microsoft.com/kb/916089
auch wenn du schreibst, dass du schon alles „gegoogelt“ hast.

Grüße
NF1983

Hi NF1983,

vielen Dank für deine Antwort.

Hier der Hijack:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:32:13, on 03.07.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Desktop\Antivierenprogramme\HiJackThis204.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Searchme Toolbar - {4d02e7e6-5930-4b51-b9b0-9f21b3789400} - mscoree.dll (file missing)
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir Desktop\avgnt.exe“ /min
O4 - HKCU…\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU…\Run: [TuneUp MemOptimizer] „C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe“ autostart
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‚Default user‘)
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: siszpe32.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra ‚Tools‘ menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra ‚Tools‘ menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra ‚Tools‘ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

–
End of file - 6453 bytes

Mein Sytem::

Intel Pentium 4 2.80GHZ
2,00GB Ram

Windows XP Prof. Service Pack 2 Version 2002

Vielen Dank für deine Hilfe.

Lg. Domi

Hallo Domi,

der Verursacher deines Problemes ist die „siszpe32.exe“.
Hierbei handelt es sich um einen Trojaner, der sich in deiner Autostart eingenistet hat.
In Zeile 53 deines Hijackthis-Log ist er aufgeführt.
( O4 - Startup: siszpe32.exe )

Versuche mal folgendes:

Nach Systemstart „Strg+Alt+Entf“ drücken und unter „Prozesse“ nach siszpe32.exe suchen und diesen Prozess beenden.
Danach „Start“ -> „Ausführen“ und dort " regedit " eingeben & OK.
Nach „HKEY_LOCAL_MACHINE\Software\Siszpe32.exe.“ suchen und Löschen !

Anschließend nochmal alle Laufwerke nach „Siszpe32“ durchsuchen und alle Dateien die so heißen löschen. Egal ob sie „.exe“ , „.dll“ oder sonst etwas sind.

By the way…

Schau mal, dass du EINE vernünftige Antivirensoftware installierst. Die Betonung liegt auf EINE, da sich mehrere im dümmsten Falle gegenseitig aufheben/ausspielen.
Ich persönlich finde Kaspersky Internetsecurity ganz gut.
Und die ca. 35€ für ein Jahr sind auch ganz ok.

Auch in Hinsicht auf deine Updates solltest du etwas tun !
Ich glaube seit etwa 2008 gibt es schon das ServicePack 3 für XP und noch reichlich nachfolgende Updates.

Sollte noch was unklar sein oder nicht funktionieren gib Bescheid.
Gern auch wenn es alles passt.

Grüße
NF1983

Hi NF1983,

schon mal tausend Dank für deine Hilfe.
Das Ding ist aber noch ausgebuffter als angenommen.
Wenn ich den Taskmanager aufrufe nach dem Start, wird der dort nirgens angezeigt. Hab das dann mit der REGEDIT gemacht und den dort in der LOCAL_MACHINE\Sofware sowie in der ROOT gefunden und gelöscht. Danach angefangen das Laufwerk zu durchsuchen und nichts mehr gefunden, aber nächsten Neustart ist der wieder da und HIjack findet den dann dort auch wieder. Die CPU Auslastung bleibt auch nach der Entfernung der Dateien bei 100%.

Hast du vielleicht noch irgend eine Idee, was ich gegen das Ding machen kann?

Vielen Dank für deine Mühe und Zeit.

Mfg
Domi

Hallo,

eine Idee habe ich noch:

Lade dir mal bei einem Freund das ISO und brenne es dir als CD.

http://devbuilds.kaspersky-labs.com/devbuilds/Rescue…

Die CD ist bootfähig.
Im BIOS deines PC’S stellst du dann als „First Bootdevice“ dein CD/DVD Laufwerk ein.
Legst anschließend die CD ein und bootest von selbiger.
Abwarten bis die grafische Oberfläche erscheint, Update ziehen und kompletten Suchlauf starten.

Die von Kaspersky vorgeschlagenen Aktionen ausführen.

PC runter fahren CD wieder raus und testen.

Grüße
NF1983