Trojaner-Board - svchost.exe hat hohe Arbeitsspeicherauslastung

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - svchost.exe hat hohe Arbeitsspeicherauslastung (https://www.trojaner-board.de/110273-svchost-exe-hat-hohe-arbeitsspeicherauslastung.html)

svchost.exe hat hohe Arbeitsspeicherauslastung

Hi alle zusammen,

mein Problem ist folgendes :

Seit einigen Wochen habe ich im Taskmanager eine svchost.exe die eine sehr
hohe Arbeitspeicherbelegung hat. Ich hatte als erstes einen Komplettscan mit dem Avast(freeversion) virenscanner durchgeführt, nichts gefunden.
Avast komplett deinstalliert und anschließend Kaspersky Internet Security 2012 installiert und Vollständige Untersuchung, Schwachstellensuche und Untersuchung wichtiger Bereiche durchgeführt. Es wurden keine Viren oder ähnliches gefunden. Es wurden lediglich einige Schwachstellen in Java SE Binary und im Flashplayer festgestellt, die ich durch ein manuelles Update behoben habe. Ich habe gegoogelt und festgestellt das meine svchost.exe auch im richtigen Verzeichnis liegt : C:\Windows\System32. Ich kann nicht herausfinden, welche dlls die exe ausführt, ich habe sie auch schonmal bei virustotal hochgeladen, nur 3-5 mir sehr unbekannte Scanner schlugen aus, also clean. Nach Beendigung der svchost.exe im Taskmanager kommt sie sofort wieder, aber solange sie weg ist , ist mein Rechner spürbar schneller. Die Scheibweise von dem Prozess habe ich auch überprüft, ob sie svchosts.exe oder so heißt. Nun weis ich keinen Rat mehr. Keine hohe CPU-Auslastung wie ich schon öfters jetzt bei anderen Leuten als Problem gesehen habe.
Habe jetzt auch noch 2 Logfiles erstellt.

Hoffentlich hat jemand hier noch nen Tipp, möchte jetzt nicht unbedingt formatieren.
Nicht Böse sein, wenn ich eine der 7 Goldenen Regeln missachtet habe, bin neu hier.

Nun Systemdaten:

Windows 7 Ultimate 64 bit, aktuelles Service pack
AMD Phenom (tm) II X4 980 Processor 3,7 GHz
Arbeitsspeicher 16 GB
Nvidia Geforce gtx 480 1,5 Gb

Zitat:

svchost.exe hat hohe Arbeitsspeicherauslastung

Und wie hoch drückt sich dieses "sehr hoch" in Zahlen aus? Was frisst diese svchost.exe in MB?

Sorry für die späte Antwort.

Maximal lieg sie bei 319.156 K ohne das meine Rechner sonst irgendwie ausgelastet ist.

Das kann bei einem 64-Bit-System mit 16 GB (!) Arbeitsspeicher durchaus normal sein.
Mal ne Frage. Was hast du davon, wenn 99% des Speichers brachliegt? Windows' SPeichermanagement ist intelligent genug, Sachen zu "prefetchen" da sind die ~320 MB sogar noch rel. wenig.

320 MB machen gerade mal 2% deines gesamten RAM aus!

Was meinst du mit 99 Prozent brachliegen ?
Und auch wenn das bei 16gb wenig erscheint, so frage ich mich doch, warum mein Computer durch diese .exe so langsam wird.
Mich würds ja nicht interessieren, wenn mein Rechner nicht spürbar langsamer würde wenn die exe im hintergrund agiert. Doch so ist es nunmal und ich komm einfach nicht drauf was es ist, da muss was faul sein...

edit: Als ich ein frisches Windows drauf gemacht hatte, war diese svchost.exe `normal`, also keine so hohe Auslastung und mein System lief normal schnell. Erst seit wenigen Wochen ist dies nicht mehr der fall.

Zitat:

Was meinst du mit 99 Prozent brachliegen ?

Das war eine rhetorische Frage. Die Frage die sich stellt: Was will man mit 16 GB RAM, wenn die eh nie genutzt werden?

Zitat:

so frage ich mich doch, warum mein Computer durch diese .exe so langsam wird.

Woher weißt du, dass genau dieser Prozess den Rechner lahmlegt? Frisst er nur Speicher (ja wahnsinnige 2% deines RAM) oder auch signifikante CPU-Resourcen?

Ich dachte, das mehr Speicher als drei GB von 64bit Systemen unterstützt werden. Also wenn ich viele Abreiten gleichzeitig ausführe lonht sich mehr Arbeitsspeicher. Ok, 16 sind super viel, aber Videobearbeitung, Videokonvertierung, Filme schauen oder Highend Grafikspiele in verschiedenen Kombinationen gleichzeitig laufen zu lassen, braucht halt ne Menge.

Die CPU wird laut Taskmanager von der exe fast garnichts beansprucht (überwiegend steht da 00, nur wenn ich andere Programme starte die oderntlich Ressourcen ziehen steigt der Wert ein bisschen).
Der Computer startet Anwendungen langsamer, oder z.B. wollte ich vor kurzem ein Videofile konvertieren, welches etwas langsam anfing und bei 99 Prozent noch 3 Stunden gedauert hat, obwohlich ich aus Erfahrungen von früheren Konvertierungvorgängen mit den selbigen Ausgangsgrößen weiß, das der Vorgang höchstens 30 min dauert.

edit: Warum ich weiß, das dieser Prozess den Rechner lahmlegt? Ich habe ihn beendet und sofort war mein Rechner schnell und ich konnte viele Anwendungen gleichzeitig und zügig starten. Der Prozess kam nach Sekunden aber wieder und alles wurde wieder in die Steinzeit katapultiert.

Ok, dann lass mal deinen Rechner abklopfen

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Eset Scan

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=8246af1e5524c1448f5892fb0dd7949f

# end=stopped

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2012-02-25 11:58:49

# local_time=2012-02-25 12:58:49 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 619507 619507 0 0

# compatibility_mode=5893 16776574 100 94 243337 81800415 0 0

# compatibility_mode=8192 67108863 100 0 4005 4005 0 0

# scanned=12300

# found=0

# cleaned=0

# scan_time=564

ESETSmartInstaller@High as downloader log:

Can not open internetESETSmartInstaller@High as downloader log:

Can not open internetCan not open internetESETSmartInstaller@High as downloader log:

Can not open internetCan not open internetESETSmartInstaller@High as downloader log:

Can not open internetesets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=8246af1e5524c1448f5892fb0dd7949f

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-25 02:33:07

# local_time=2012-02-25 03:33:07 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 620238 620238 0 0

# compatibility_mode=5893 16776574 100 94 244068 81801146 0 0

# compatibility_mode=8192 67108863 100 0 4736 4736 0 0

# scanned=228331

# found=3

# cleaned=0

# scan_time=9091

C:\Program Files (x86)\2K Games\Gearbox Software\Borderlands GOTY Edition\Binaries\paul.dll        a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Spider\Desktop\Downloads\bf3ext_v1b.rar        a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\Spider\Desktop\Downloads\bf3ext_v1b\bf3ext_v1b.exe        a variant of Win32/Packed.VMProtect.AAH trojan (unable to clean)        00000000000000000000000000000000        I

Malwarebytes

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000

www.malwarebytes.org
 

Datenbank Version: v2012.02.25.02
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Spider :: SPIDER-PC [Administrator]
 

Schutz: Aktiviert
 

25.02.2012 09:15:50

mbam-log-2012-02-25 (09-15-50).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 425305

Laufzeit: 44 Minute(n), 14 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 7

C:\Program Files (x86)\SolidWorks Corp\SolidWorks Explorer\PDMWorks Client 2010\swexplorer2pdmworks_crk.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\SolidWorks Corp\SolidWorks Explorer\PDMWorks Clientx64 2010\swexplorer2pdmworks_crk.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\SolidWorks Corp\SolidWorks Explorer\setup\i386\swexplorer2pdmworks_crk.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Program Files (x86)\SolidWorks Corp\SolidWorks Explorer\SolidWorks Explorer 2010\swexplorer2pdmworks_crk.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Spider\Desktop\Downloads\Programme\Microsoft.Outlook.2010.Volume.License.with.BCM.2010.German.DVD-TIw\Crack\mini-KMS_Activator_v1.053.exe (PUP.Hacktool.Office) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\Spider\Desktop\Downloads\VMwWv8\VMware.Workstation.v8.0.1.528992.Incl.Keymaker-ZWT\keygen.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

Zitat:

C:\Users\Spider\Desktop\Downloads\Programme\Microsoft.Outlook.2010.Volume.License.with.BCM.2010.German.DVD-TIw\Crack\mini-KMS_Activator_v1.053.exe (PUP.Hacktool.Office) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Spider\Desktop\Downloads\VMwWv8\VMware.Workstation.v8.0.1.528992.Incl.Keymaker-ZWT\keygen.exe (Riskware.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Ja cracks nutzen und sich dann wundern, warum das System spinnt :pfui:

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!

In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials