|
svchost: Hohe CPU-Auslastung + Speicherfraß Hallo miteinander! Nach (ergebnislosen) 5 Stunden Suche frage ich nun doch, ob Ihr mir helfen könnt. Symptom: 1. Eine svchost-Instanz erzeugt eine ständige CPU-Auslastung von 40-80% 2. Es geht langsam aber sicher Speicher verloren (~200 MB/Std) 3. Netzwerk hochaktiv (Workstation via Proxy mit INetz verbunden) Könnt Ihr mir bitte einen Tip geben? Danke im voraus! Jim Knopf |
Servus, Poste doch mal einen HijackThis - Log nach dieser Anleitung, sonst wird es recht schwierig, da was festzustellen. http://www.trojaner-board.de/showthread.php?t=17493 |
Hallo Exciter! Bitteschön: Logfile of HijackThis v1.99.1 Scan saved at 16:32:48, on 22.01.2006 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINNT\System32\NALNTSRV.EXE C:\WINNT\System32\nvsvc32.exe C:\PVSW\BIN\W3SQLMGR.EXE C:\PVSW\BIN\NTBTRV.EXE C:\WINNT\system32\regsvc.exe C:\PVSW\BIN\NTDBSMGR.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\wm.exe C:\WINNT\System32\MsPMSPSv.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\dpmw32.exe C:\WINNT\System32\NWTRAY.EXE C:\WINNT\System32\RunDll32.exe C:\Programme\Ahead\InCD\InCD.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\System32\eclientn.exe D:\KeoWin32\Tools32\SwitchBTV\SwitchBTV.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\System32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Utilities\WallpFlip.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe D:\KeoWin32\Tools32\Text2Plain\Text2Plain.exe C:\Utilities\WinKey\WinKey.exe C:\WinCmd\TOTALCMD.EXE C:\WINNT\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\DD\OMa\Oma.exe C:\Programme\Microsoft Office\Office\EXCEL.EXE C:\Programme\Outlook Express\msimn.exe C:\Utilities\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.orf.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [CM-SmWizard] C:\WINNT\System\SmWizard.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ETapiSt] "C:\Programme\ESTOS\ProCall\etapist.exe" -autostart O4 - HKLM\..\Run: [ETapiNotify] eclientn.exe O4 - HKLM\..\Run: [PVSWSwitch] D:\KeoWin32\Tools32\SwitchBTV\SwitchBTV.exe /hide=true O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [__RegSvr32] C:\WINNT\System32\msmsgs.exe O4 - HKLM\..\Run: [__intell32.exe] C:\WINNT\System32\intell32.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: KEOPS Wallpaper Flipper.lnk = C:\Utilities\WallpFlip.exe O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O4 - Startup: Text2Plain.lnk = D:\KeoWin32\Tools32\Text2Plain\Text2Plain.exe O4 - Startup: Verknüpfung mit WinKey.exe.lnk = C:\Utilities\WinKey\WinKey.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - h**p://w*w.parallelgraphics.com/bin/cortvrml.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5B42D2CE-5534-4DD1-A1C0-557462E91EFC}: NameServer = 195.34.133.10,195.34.133.11 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: Pervasive.SQL (relational) - Pervasive Software Inc. - C:\PVSW\BIN\W3SQLMGR.EXE O23 - Service: Pervasive.SQL (transactional) - Unknown owner - C:\PVSW\BIN\NTBTRV.EXE O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\System32\r_server.exe" /service (file missing) O23 - Service: Novell Arbeitsstations-Manager (WM) - Novell, Inc. - C:\WINNT\System32\wm.exe Gruß, Jim Knopf |
Ok, dann wollen wir mal. Zitat:
|
Zeigen Start -> Ausführen -> cmd -> netstat -abnov und tasklist /svc Auffälligkeiten? |
Also mit den Dreien ist es so: 1. NTDBSMGR.EXE = Datenbankserver Pervasive.SQL 2. internat.exe = Hat anscheinend mit dem Gebietsschema zu tun 3. OMa.exe = Office-Manager 1 und 3 sind sicher ok, 2 ziemlich sicher (laut Infos aus dem Web) |
Zitat:
|
Hallo Marc! ----------------------------------------- Bei TList sind mir nicht alle bekannt: ----------------------------------------- 0 System Process 8 System 144 SMSS.EXE 168 CSRSS.EXE Title: 164 WINLOGON.EXE Title: NetDDE Agent 216 SERVICES.EXE Svcs: Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,lanmanworkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,Wmi 228 LSASS.EXE Svcs: PolicyAgent,SamSs 396 svchost.exe Svcs: RpcSs 428 spoolsv.exe Svcs: Spooler 464 AVGUARD.EXE Svcs: AntiVirService 480 AVWUPSRV.EXE Svcs: AVWUpSrv 500 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 532 incdsrv.exe Svcs: InCDsrv 556 nalntsrv.exe Svcs: NALNTSERVICE 664 nvsvc32.exe Svcs: NVSvc 684 w3sqlmgr.exe Svcs: Pervasive.SQL (relational) 700 ntbtrv.exe Svcs: Pervasive.SQL (transactional) 740 regsvc.exe Svcs: RemoteRegistry 768 ntdbsmgr.exe 776 mstask.exe Svcs: Schedule 696 WinMgmt.exe Svcs: WinMgmt 880 wm.exe Svcs: WM 908 MsPMSPSv.exe Svcs: WMDM PMSP Service 1328 explorer.exe Title: Program Manager 1408 dpmw32.exe Title: DPMW32.EXE Main Window 1416 nwtray.exe Title: NetWareProviderIcons 1424 rundll32.exe Title: Hidden Main Window 1392 InCD.exe Title: PNPNOTIFICATIONRECEIVER_A6ECD0 1464 qttask.exe Title: QTPlayer Tray Icon 1480 eclientn.exe Title: ETapiNotifyExe 580 SwitchBTV.exe Title: 1484 AVGNT.EXE Title: AntiVir PersonalEdition Classic - Guard 720 Spamihilator.ex Title: Spamihilator 1504 wcescomm.exe Title: DccMan 1512 internat.exe Title: 1528 TeaTimer.exe Title: Spybot - Search & Destroy 1584 WallpFlip.exe Title: Wallpflip 1592 NaturalColorLoa Title: 1568 Text2Plain.exe Title: Text2plain 1608 WinKey.exe Title: WinKeyEngine 1628 TOTALCMD.EXE Title: Lister - [C:\Utilities\Hijack\hijackthis.log] 1164 IEXPLORE.EXE Title: svchost.exe verbraucht speicher - Google-Suche - Microsoft Internet Explorer 1544 Oma.exe Title: Priv.KEOPS Office-Manager 1612 EXCEL.EXE Title: Microsoft Excel - Passwort.xls 716 msimn.exe Title: Posteingang - Outlook Express 1704 WINWORD.EXE Title: Leibnitz-Seminar.doc - Microsoft Word 1756 taskmgr.exe Title: Windows Task-Manager 1824 CMD.EXE Title: C:\WINNT\System32\cmd.exe - tlist -svc 748 tlist.exe ----------------------------------------- und NetStat sieht so aus: ----------------------------------------- Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP TiM:epmap TiM:0 ABH™REN TCP TiM:microsoft-ds TiM:0 ABH™REN TCP TiM:1025 TiM:0 ABH™REN TCP TiM:1032 TiM:0 ABH™REN TCP TiM:1034 TiM:0 ABH™REN TCP TiM:1583 TiM:0 ABH™REN TCP TiM:3351 TiM:0 ABH™REN TCP TiM:5679 TiM:0 ABH™REN TCP TiM:18350 TiM:0 ABH™REN TCP TiM:pop3 TiM:0 ABH™REN TCP TiM:imap TiM:0 ABH™REN TCP TiM:993 TiM:0 ABH™REN TCP TiM:995 TiM:0 ABH™REN TCP TiM:1034 TiM:18350 HERGESTELLT TCP TiM:18350 TiM:1034 HERGESTELLT TCP TiM:netbios-ssn TiM:0 ABH™REN TCP TiM:427 TiM:0 ABH™REN TCP TiM:1031 TiM:0 ABH™REN TCP TiM:1206 TiM:0 ABH™REN TCP TiM:1206 SRV2:netbios-ssn HERGESTELLT TCP TiM:1258 SRV2:pop3 WARTEND TCP TiM:1261 SRV2:pop3 WARTEND TCP TiM:1262 SRV2:pop3 WARTEND TCP TiM:3017 TiM:0 ABH™REN UDP TiM:epmap *:* UDP TiM:microsoft-ds *:* UDP TiM:1029 *:* UDP TiM:1035 *:* UDP TiM:netbios-ns *:* UDP TiM:netbios-dgm *:* UDP TiM:427 *:* UDP TiM:isakmp *:* UDP TiM:1074 *:* |
Leider scheints so einfach nicht zu sein (dann wäre ja zu sehr Sonntag...). Das Stoppen der Datenbank-Engine ändert nix am svchost-Buddeln. Übrigens lief die immer schon, kanns also eigentlich nicht sein zu können. |
Zitat:
|
1480 eclientn.exe Title: ETapiNotifyExe = Tapi-Client von Telefon-Software 1584 WallpFlip.exe Title: Wallpflip = Eigenes Progi 1592 NaturalColorLoa Title: = Monitor-Utility 1608 WinKey.exe Title: WinKeyEngine = Globales Win-Tasten-Tool Sind alle vier bekannt, Virenprogramm (AntiVir) findet nichts. Probiere jetzt noch mit MWAV |
Zusatzinformation Wie gesagt hängt die Workstation via Proxy im Internet. Deaktiviere ich die Lan-Verbindung, dann ist Ruhe. Was tut der da?? Wie kann ich sehen, wer diese svchost-Instanz verwendet? |
Problem gelöst!! Hallo Ihr beiden! Danke Euch vielmals für die Mühe! Das Problem war dieses: Der Tapi-Client meiner Workstation wollte sich mit dem Tapi-Server auf einem anderen Rechner verbinden, konnte es aber nicht, weil dieser abgesoffen war (Netzwerk > svchost). Der zunehmende Speicherverbrauch ist vermutlich ein Fehler in der Tapi-Client-Software... Nochmals Danke! Schönen Wochenbeginn! Martin |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board