svchost.exe verursacht 100% prozessorauslastung
 

Hallo an alle,

bin zum ersten mal hier und habe mich einwenig durchgelesen hier. falls ich etwas übersehen habe, dann bitte ich schon im vorraus um entschuldigung.

mein problem:

wenn ich den pc starte (windows XP PRO SP2 und alle microsoft updates), dann ist erstmal alles ganz normal. nach ungefähr 30 sekunden betrieb geht eine der sechs svchost.exe auf 100% prozessorauslastung und verbraucht bis zu 100 MB RAM. das bleibt dann so etwa 2 minuten, danach ist alles wieder ok ohne daß ich etwas unternehme. zudem öffnen sich laut windows task manager zwei wmiprvse.exe. bisher habe ich die svchost.exe im taskmanager beendet, dann werden automatisch auch die zwei wmiprvse.exe beendet und auch wuauclt.exe (das ist der windows audio manager). die wuauclt.exe starte ich dann per services.msc wieder unter "windows audio", dann funktioniert auch der mixer wieder. die beendete svchost.exe taucht wieder auf, jedoch macht sie keine probleme mehr. das ganze passiert tatsächlich nur bei einem kompletten systemneustart.

was ich bisher unternommen habe:

- spybot S&D laufen gelassen mit imunisieren. hat nichts gefunden, außer tracking cookies. im abgesicherten modus
- adaware -nichts gefunden
- spywareblaster, alle möglichen protections angemacht
- alle dateien mit AVG Free edition gescant
- tsc.exe / sysclean.com mit lpt$vpn.414 im abgesicherten modus -hat einen trojaner gefunden und gelöscht. der trojaner war in eine ganz alten datei die nicht auf der systempartition war. (unglaublich, daß alle andere programme den nicht gefunden haben!)
- ccleaner
- drei verschidene regcleaner programme benutzt

alle programme wurden davor upgedatet.

nun bin ich mit meinem latein am ende und weiss nicht was das sein könnte. langsam bin ich der meinung, daß es gar kein virus oder trojaner ist, sondern nur ein merkwürdiges verhalten von windows ist, daß ich selbst in unwissen verursacht habe.

was ich beobachtet habe:

mit tcpview und aports konnte ich ab und zu ein unerklärliches verbinden über http zu einer mir unbekannten LAN adresse 194.255.208.110 . auch waren aktivitäten über local port 1147 1046 1047 und 1054 zu beobachten, die ich mir nicht erklären kann, ich bin jedoch auch ein netzwerkleie. vielleicht helfen euch diese infos aber weiter.

was soll ich machen? soll ich ein hijack logfile posten? und wenn ja, wann soll ich das erstellen? in den besagten 2 minuten 100% auslastung oder nachdem ich die svchost.exe gekillt habe oder soll ich einfach nichts killen und danach ein logfile erstellen?

oder ein ganz anderen vorschlag?

mein system:

winXP pro SP2, alle updates
AthlonXP 2400, 2Ghz
1,2 GB DDR RAM
SiS chipsatz
Radeon 9500pro Grafikkarte
AVG free
ZoneAlarm Pro 7.0.337.000

vielen, vielen dank für euere hilfe und zeit!

lambras

Nein. wuauclt steht für WindowsUpdateAutoClient und hat mit den automatischen Updates was zu tun. Die Aktivität der automatischen Updates hat fast immer zur Folge, dass svchost.exe und wuauclt.exe extrem viel Resourcen belegen - also dein Rechner sucht nach Updates.
Die IP-Adresse stammt aus Dänemark, warum dein Rechner die ansurft weiß ich nicht - die Aktivitäten, die dir in tcpview bzw. ActivePorts angezeigt werden sind durchaus normal.
Ich würde vorschlagen, du postest sicherheitshalber die Logfiles von Hijackthis und tcpview. Erstell das HJT-Logfile dann, wenn die Auslastung auftritt, auch wenn ich vermute, dass diese durch die automatischen Updates kommt.

danke für die antwort. ich wohne in dänemark, ist schon richtig.

sorry, daß es so lange gedauert hat mit den logs, aber ich dachte das board sendet mir eine nachricht bei eine antwort, das hat es aber nicht.

ich werde die logs sofort in einem extra posting reinstellen

hijack this log
 

Logfile of HijackThis v1.99.1
Scan saved at 02:31:50, on 24-04-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Program Files\Launchy\Launchy.exe
D:\programme\SpeedFan\speedfan.exe
D:\programme\Xtras\TrayIt\TrayIt!.exe
D:\programme\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\taskmgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: CompanionHelper Class - {00000000-623A-11D4-BCDB-005004131777} - C:\Program Files\Web Interactive Communicator\VgIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Program Files\Copernic Desktop Search 2\DesktopSearchBand2526.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Program Files\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - Startup: SpeedFan.lnk = D:\programme\SpeedFan\speedfan.exe
O4 - Startup: TrayIt!.lnk = D:\programme\Xtras\TrayIt\TrayIt!.exe
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - h**ps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-tjeneste (iPod Service) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

tcp view log
 

[System Process]:0 TCP mastermindpc:1036 194.255.208.113:http TIME_WAIT
lsass.exe:660 UDP mastermindpc:4500 *:*
lsass.exe:660 UDP mastermindpc:isakmp *:*
svchost.exe:900 TCP mastermindpc:1037 194.255.208.112:http ESTABLISHED
svchost.exe:900 UDP mastermindpc:ntp *:*
svchost.exe:900 UDP mastermindpc:ntp *:*
svchost.exe:952 UDP mastermindpc:1025 *:*
System:4 TCP mastermindpc:microsoft-ds mastermindpc:0 LISTENING
System:4 UDP mastermindpc:microsoft-ds *:*

woran liegt das, daß mein logfile nicht ausgewertet wird? habe ich was falsch gemacht?

Hi,

nein, sieht eigentlich gut aus. Vielleicht ist der Frühling schuld, weniger Zeit für Computer und in Gedanken draußen im Grünen sein, wenn man trotzdem am Rechner sitzt :)

Noch ein Test: Systemsteuerung -> automatische Updates: dort diese deaktivieren. Vermutlich wird das Sicherheitscenter meckern, dort gibt es aber irgendwo links am Rand eine Option, wo Du die Warnung ausschalten kannst. Besteht das Problem dann immer noch?

Gruß, Karl