Svchost.exe lastet 100% System aus

Hallo zusammen,

seit 3 Tagen habe ich ein großes Problem mit dieser svchost.exe Datei.
Wenn der Rechner hochfährt ist alles noch OK, sobald ich aber eine IT-Verbindung aufgebaut wird, geht die Systemlast auf 100% und wenn ich eine Internetseite aufbauen will, bekomme ich eine fehlermeldung vom Browser - keine IT-verbindung hergestellt. Dann starte ich den Taskmanager und zeigt mir diese vermeintliche svchost mit 100% Leistung. Ziehe ich das Netztwerkkabel ab - ist alles wieder normal. Es findet definitiv, wenn 100% Last ein Datenverkehr statt in voller Leistung des Upstreams.
Nun das wird dann wohl ein Wurm - bzw. ein Trojaner sein, der sich da drauf gesetzt hat. Ich kann diese cvchost im Manager auch beenden, dann kann ich wieder normal weiterarbeiten.
Habe mir dann gedacht, Virenproblem und lass mal meinen Norton drüberlaufen - keine Ergebniss.
Diesen deinstalliert und dann 3 weitere Virenprogramme Installiert, natürlich erst die anderen wieder deinstalliert.
Folgende Virenprogramme hatte ich testen lassen auf Viren:
Norton 2009
Panda 2010
Bitdefender in der aktuellsten Version.

Keiner dieser Programme hat die svchost als Infizierte Datei erkannt.

Dann habe ich trendMicro IT 2010 insstalliert und siehe da, sie hat die svchost als infizierte Datei erkannt. Hat diese dann in die Quarantäne gesteckt.

Das System läuft zwar, aber ich möchte schon das ganze beheben wollen.
Dieses Problem trat auch schon mal bei einigen Usern im Jahre 2007 auf, so wie ich das gelesen habe. Da lag es am Update von Bill.

Meine Frage: Wie kann die svchost.exe wieder in den Urzustand bekommen (ohne die Wiederhestellungskonsole) nutzen zu müssen.

Betriebsystem: WinXP mit allen Updates.

Für einen Hinweis von euch wäre ich sehr dankbar.

Hi,
bitte check dein System mit HiJackThis und poste das Ergebnis hier. Deiner Schilderung nach würde ich darauf tippen dass du dir was eingefangen hast (PC als Zombierechner in einem Botnetz).

Gruß, djhooker

Vielen Dank für deine Prompte Antwort. Hier der Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:59:46, on 16.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\BM\TMBMSRV.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\Internet Security\TmPfw.exe
C:\Programme\Trend Micro\Internet Security\TmProxy.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
C:\Programme\Trend Micro\TrendSecure\TSCFCommander.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pushweb.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Trend Micro Toolbar BHO - {43C6D902-A1C5-45c9-91F6-FD9E90337E18} - C:\Programme\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Trend Micro Symbolleiste - {CCAC5586-44D7-4c43-B64A-F042461A97D2} - C:\Programme\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O4 - HKLM…\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [LogitechQuickCamRibbon] „C:\Programme\Logitech\QuickCam\Quickcam.exe“ /hide
O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM…\Run: [UfSeAgnt.exe] „C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe“
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU…\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-19…\Run: [OE] C:\Programme\Trend Micro\Internet Security\TMAS_OE\TMAS_OEMon.exe (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra ‚Tools‘ menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwe…
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/so…
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5C…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Con…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs…
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_e…
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: tmtb - {04EAF3FB-4BAC-4B5A-A37D-A1CF210A5A42} - C:\Programme\Trend Micro\TrendSecure\TISProToolbar\TSToolbar.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9b8526342930a) (gupdate1c9b8526342930a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Security Activity Dashboard Service - Unknown owner - C:\Programme\Trend Micro\TrendSecure\SecurityActivityDashboard\tmarsvc.exe
O23 - Service: Trend Micro Central Control Component (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: SSDP-Suchdienst SSDPSRVnapagent (SSDPSRVnapagent) - Unknown owner - C:\WINDOWS\system32\advpackd.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe

–
End of file - 9381 bytes

Wenn ich ohne Format das schaffe, haste einen gut bei mir.
Danke djhooker

Guten Morgen,

Badware im „bösen“ Sinne kann ich auf die Schnelle nicht entdecken. Mir fiel aber auf dass bei dir der Indexdienst aktiviert ist (searchindexer.exe).
Schau mal hier:
http://www.winfuture-forum.de/lofiversion/index.php?..

Weiterhin fiel mir auf dass du recht viele Toolbars installiert hast, z.B. Ask.com (Nero-Installation, warum die sehr fragwürdig ist, hier ein beispiehafter Thread: http://www.gutefrage.net/frage/wozu-soll-die-ask-too…) und SweetIm (irgendwas mit niedlichen Smileys wird das wohl sein).

Also: Such-/Indexdienst deaktivieren und überflüssige Toolbars deinstallieren. Danach weiter beobachten. Verhält sich das System nun „normal“, ist ein Virenbefall eher unwahrscheinlich, insbesondere dann wenn du dich nicht auf zweifelhaften Seiten rumtreibst oder jede unbekannte .exe oder jeden Mailanhang von ominösen Absendern öffnest.

Hilfsweise kannst du nochmal mit einer Knoppix-CD booten und dann deine Systempartition auf Viren scannen.

Wenn ich ohne Format das schaffe, haste einen gut bei mir.
Danke djhooker

Ja, schaum 'mer mal

Tschüss sagt
djhooker

Hallo,

svchost.exe ist ein wichtiger Systemprozess, der zum Ausführen bestimmter Programme (dll-Dateien) benötigt wird. In der Regel taucht dieser Prozess mehrfach im Taskmanager auf. Mit Hilfe des Befehlszeilenkommandos
Tasklist/svc /FI „IMAGENAME eq svchost.exe“
wird eine Liste angezeigt, die alle derzeit auf dem System laufende Prozesse anzeigt, die svchost.exe benötigen.
Also nicht svchost.exe ist deine Malware, sondern ein damit laufender Prozess „frisst“ deine Systemresourcen.

Grüße Culles

Hallo djhooker,

habe mal deinen Rat befolgt und alles deinstalliert.

Bis jetzt ist Ruhe eingekehrt. Mal sehen. Beobachte das mal heute.

Melde mich dann, was es gegeben hat.

Danke Dir erst mal für deine Ausführungen. ))

Pushy

Hallo Culles,

ja da hast du Recht. Diesen habe ich vier mal als Prozess.
Wenn dieses aufgetreten ist, habe ich den Prozess mit der hohen Auslastung im taskmanager beendet. Das funktionierte. Das System ging auf vier Prozent zurück und die Internetverbindung war wieder frei und OHNE Auslastung.

Habe mal den Rat von DJHooker befolgt und mal sehen was dabei so rauskommt. Ruhe ist schon einmal…

Danke auch Dir für deinen Hinweis. Aber die befehlzeile funktionierte leider nicht. Ich beobachte das.

Danke ))

Pushy

Hallo,

mir ist nicht klar, warum das Befehlszeilenkommando bei dir nicht funktioniert.
Gebe unter „ausführen“ den Befehl cmd ein.
Gebe *dann* im sogenannten DOS-Fenster
Tasklist/svc /FI „IMAGENAME eq svchost.exe“
ein.

Grüße Culles

Hallo,

nach nochmaligen Versuch ist dieser Befehl nicht ausführbar.
Der Befehl „Tasklist“ ist kein Befehl - laut WINXP. Macht aber auch nichts, da sich das Problem gelöst hat.

Danke Dir

Hallo djhooker,

vielen Dank für deine Hilfe. Das Problem hat sich eingestellt. Seit 2 Tagen läuft das System tadellos ohne dieses Problem.

Ich bedanke mich bei djhooker für die Problemlösung - seht vorigen Artikel.

„Er hat jetzt einen gut bei mir“ - Danke

Pushy