Hallo,
seit kurzem ist die CPU-Anzeige meines Rechners kurz nach dem Start von Windows ununterbrochen auf 100%.
Der Task-Manager nennt eine Prozess namens svchost.exe (der übrigens mehrmals dort aufgeführt ist), der ständig 99% Auslastung verursacht.
Wenn ich den dann beende, hab ich u.a. keine Soundausgabe mehr.
Hab vor kurzem Microsoft Update installiert - kann das damit zusammenhängen? Und wie werde ich Microsoft Update wieder los?
Vielen Dank im Voraus!
Das Probleme wurde im Forum schon öfter behandelt, bitte bemühe zuerst mal die Forensuche und probier dortige Schritte aus, um das Problem zu lösen.
Schlägt das fehl:
- Welche Schritte hast du dann alle ausprobiert?
Mit den Updates wird das wohl kaum zusammen hängen, schließe ich aber mal nicht komplett aus.
Das die svchost.exe mehr als einmal im Task-Manager auftaucht, ist völlig normal.
Hast du den letzten update gemacht
(wurde gestern als download angeboten)
dann schau bitte hier:
http://www.paules-pc-forum.de/phpBB2/topic,100164.html
Gruß
Rolf
@ Freaky:
Ich hab natürlich zuert mal im Forum nach svchost.exe gesucht. Dann bekam ich ca. 68 Einträge angezeigt, und nachdem keiner der ersten 20-30 Einträge mein Suchwort im Betreff enthalten hat, hab ich hier was geschrieben. Werde eben nochmal alles gründlich durchforsten...
Ok, vielen Dank, hab den richtigen Eintrag gefunden und mache mich an die ganzen Scans.
Diese Sache lässt sich bestimmt ganz leicht lösen, aber ich komm nicht drauf:
Ich versuche, im abgesicherten Modus mit AVG Anti-Spyware mein System zu scannen und das Problem ist folgendes:
Die Auflösung ist im abgesicherten Modus zu niedrig, als dass ich das komplatte Fenster sehen könnte, es sind immer nur Ausschnitte zu erkennen und somit kann ich auch nichts mit dem Programm anfangen.
Und anscheinend kann man diese Auflösung auch nicht ändern...?
Ja das geht im abgesicherten Modus leider nicht... das ist ja jetzt echt mal blöd.
So...
Habe mir das Programm im normalen Modus angeschaut und dann so gut ichs erkennen konnte, den Scan im abgesicherten Modus ausgeführt.
Hier jetzt die Ergebnisse, nachdem ich die Liste im Eintrag von WhiteKnight abgearbeitet habe.
---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------
+ Erstellt um: 15:14:46 06.04.2007
+ Scan-Ergebnis:
Keine Bedrohung gefunden.
::Berichtende
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 15:20:32, on 06.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
04/06/07 15:23:23 [Info]: BlackLight Engine 1.0.61 initialized
04/06/07 15:23:23 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/06/07 15:23:23 [Note]: 7019 4
04/06/07 15:23:23 [Note]: 7005 0
04/06/07 15:23:34 [Note]: 7006 0
04/06/07 15:23:34 [Note]: 7011 1024
04/06/07 15:23:34 [Note]: 7026 0
04/06/07 15:23:34 [Note]: 7026 0
04/06/07 15:23:37 [Note]: FSRAW library version 1.7.1021
04/06/07 15:27:31 [Note]: 7007 0
Ich hoffe, da wird jemand schlau draus. Den svchost.exe-Prozess hatte ich allerdings vor den Scans deaktiviert - sonst hätte das wahrscheinlich Tage gedauert. Aber das dürfte die Ergebnisse nicht verfälscht haben, oder?
Vielen Dank im Voraus für jegliche Hilfe!
und was nun?
Nun ja...
Ich hatte auf anraten von Freaky mein System gescannt und die Ergebnisse oben gepostet. Jetzt hoffe ich, jemand kann mir sagen, warum auf meinem PC nach dem Hochfahren immer mit 100 % CPU-Auslastung svchost.exe läuft.
Hallo, ich bin nicht der Virenexperte
darum verschiebe ich deinen Beitrag ins Virenforum
mal sehn was die Experten dazu sagen.
Gruß
Rolf
Sorry, ich bin auch nicht immer am PC 
Warte mal auf einen unserer Experten, ich bin mir bei deiner Logfile nicht sicher...
poste dieses log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
Viele Grüße
WhiteKnight
Voilà...
Jetzt bin ich ja mal gespannt. Auf jeden Fall schon mal vielen Dank!
"alexanderschreck" - 07-04-07 21:23:21 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\alexanderschreck\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2007-03-07 to 2007-04-07 ))))))))))))))))))))))))))))))))))
2007-04-06 02:03 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-04-06 01:55 <DIR> d-------- C:\Programme\CCleaner
2007-04-04 17:37 <DIR> d--h----- C:\WINDOWS\PIF
2007-04-04 17:31 <DIR> d-------- C:\Programme\IZArc
2007-04-02 13:33 128,232 --a------ C:\WINDOWS\system32\mucltui.dll
2007-03-22 20:56 481,792 --------- C:\WINDOWS\system32\1602Unst.exe
2007-03-18 18:59 <DIR> d-------- C:\Programme\iTunes
2007-03-18 18:59 <DIR> d-------- C:\Programme\iPod
2007-03-10 15:22 <DIR> d-------- C:\Programme\Apple Software Update
2007-03-09 23:07 <DIR> d-------- C:\DOKUME~1\ALEXAN~1\Contacts
2007-03-09 23:06 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-04-07 21:27 -------- d-------- C:\Programme\kaspersky lab
2007-04-07 14:49 -------- d-------- C:\Programme\mozilla thunderbird
2007-04-02 13:37 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-02 13:37 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-22 20:59 -------- d--h----- C:\Programme\installshield installation information
2007-03-20 18:44 -------- d-------- C:\Programme\tipp10
2007-03-10 15:24 -------- d-------- C:\Programme\quicktime
2007-03-09 23:06 -------- d-------- C:\Programme\msn messenger
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-07 16:15 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-03-04 16:25 -------- d-------- C:\Programme\latexstuff
2007-02-09 02:30 -------- d-------- C:\Programme\zehnfingersystem
2007-02-08 21:17 -------- d-------- C:\DOKUME~1\ALEXAN~1\ANWEND~1\sonic
2007-01-19 13:53 51056 --a------ C:\WINDOWS\system32\sirenacm.dll
2007-01-08 20:01 17408 --a------ C:\WINDOWS\system32\corpol.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_9 -reboot 1"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"IgfxTray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"HotKeysCmds"="C:\\WINDOWS\\system32\\hkcmd.exe"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"Dell QuickSet"="C:\\Programme\\Dell\\QuickSet\\quickset.exe"
"Apoint"="C:\\Programme\\Apoint\\Apoint.exe"
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"DVDLauncher"="\"C:\\Programme\\CyberLink\\PowerDVD\\DVDLauncher.exe\""
"kis"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Internet Security 6.0\\avp.exe\""
@=""
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"BCMSMMSG"="BCMSMMSG.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"appinit_dlls"="C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
********************************************************************
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net
scanning hidden processes ...
scanning hidden services ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
********************************************************************
Completion time: 07-04-07 21:28:29
C:\ComboFix-quarantined-files.txt ... 07-04-07 21:28
Vorsichtshalber mal scannen:
virustotal
http://www.virustotal.com/en/indexf.html
Oben auf der Seite --> auf Durchsuchen klicken --> oder gleich Datei mit korrektem Pfad einkopieren) -->
Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
C:\WINDOWS\system32\1602Unst.exe
poste den Report vollständig
Dann noch folgendes
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix
checked" – PC neustarten
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Aber eigentlich sieht das alles sehr gut aus!
Viele Grüße
WhiteKnight
Hallo,
anbei der Report von VirusTotal. Die Spalten sind leider etwas verrutscht.
Complete scanning result of "1602Unst.exe", received in VirusTotal at 04.08.2007, 16:51:04 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.4.7.0 04.06.2007 no virus found
AntiVir 7.3.1.48 04.08.2007 no virus found
Authentium 4.93.8 04.06.2007 no virus found
Avast 4.7.936.0 04.06.2007 no virus found
AVG 7.5.0.447 04.08.2007 no virus found
BitDefender 7.2 04.08.2007 no virus found
CAT-QuickHeal 9.00 04.06.2007 no virus found
ClamAV devel-20070312 04.08.2007 no virus found
DrWeb 4.33 04.08.2007 no virus found
eSafe 7.0.15.0 04.07.2007 no virus found
eTrust-Vet 30.7.3549 04.06.2007 no virus found
Ewido 4.0 04.08.2007 no virus found
FileAdvisor 1 04.08.2007 no virus found
Fortinet 2.85.0.0 04.08.2007 no virus found
F-Prot 4.3.1.45 04.04.2007 no virus found
F-Secure 6.70.13030.0 04.08.2007 no virus found
Ikarus T3.1.1.3 04.08.2007 no virus found
Kaspersky 4.0.2.24 04.08.2007 no virus found
McAfee 5003 04.06.2007 no virus found
Microsoft 1.2405 04.08.2007 no virus found
NOD32v2 2173 04.07.2007 no virus found
Norman 5.80.02 04.05.2007 no virus found
Panda 9.0.0.4 04.08.2007 no virus found
Prevx1 V2 04.08.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.08.2007 no virus found
TheHacker 6.1.6.085 04.04.2007 no virus found
VBA32 3.11.3 04.07.2007 no virus found
VirusBuster 4.3.7:9 04.07.2007 no virus found
Webwasher-Gateway 6.0.1 04.08.2007 no virus found
Aditional Information
File size: 481792 bytes
MD5: 03f6cf7cc1e873d6030540a0428d67ed
SHA1: 73432b22f71d889d3eafd2e38caad797a7125aa2
Mache mich jetzt noch an HijackThis.
Gerade merke ich, dass ich nicht genau verstanden habe, was genau ich noch bei HijackThis machen soll.
Soll ich nach dem Scan alle gefundenen Objekte markieren? Oder meintest du nur denjenigen, den du auch noch mal aufgelistet hast?
Vielen Dank!
nur diesen einen Eintrag
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix
checked" – PC neustarten
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Viele Grüße
WhiteKnight
Habe den PC nach entfernen des Eintrags viermal neu gestartet.
Das erste Mal fing der svchost.exe-Prozess nach ca. 3-4 min plötzlich noch mal an, 99% CPU-Auslastung zu verursachen. Das war nach ca. 1 min aber vorbei.
Bei den drei weiteren Neustarts schien sich das gegeben zu haben. Außer Prozessen wie avp.exe und guard.exe, die hin und wieder etwas rechnen, scheint alles zeimlich ruhig.
Was genau ist jetzt die Diagnose? Also woran lags bzw. wieso scheint sich das jetzt normalisiert zu haben?
Auf jeden Fall vielen Dank für die Hilfe!
installiere Windows Worms Doors Cleaner und stelle alles auf grün
http://virus-protect.org/windsdoorcleaner.html
Neustart F8 drücken, abgesicherter Modus starten
Gehe auf Programme Kaspersky, starte Kaspersky, Warnmeldung kommt ignorieren, dann
unten rechts auf das nun graue V mit rechter Maustaste klicken, wähle Arbeitsplatz untersuchen, alle
Funde löschen. Report posten
poste das log
http://virus-protect.org/artikel/tools/autoruns.html
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
Viele Grüße
WhiteKnight
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
