Hallo miteinander!

Nach (ergebnislosen) 5 Stunden Suche frage ich nun doch, ob Ihr mir helfen könnt.

Symptom:
1. Eine svchost-Instanz erzeugt eine ständige CPU-Auslastung von 40-80%
2. Es geht langsam aber sicher Speicher verloren (~200 MB/Std)
3. Netzwerk hochaktiv (Workstation via Proxy mit INetz verbunden)

Könnt Ihr mir bitte einen Tip geben?
Danke im voraus!

Jim Knopf

Servus,

Poste doch mal einen HijackThis - Log nach dieser Anleitung, sonst wird es recht schwierig, da was festzustellen.

http://www.trojaner-board.de/showthread.php?t=17493

Hallo Exciter!

Bitteschön:

Logfile of HijackThis v1.99.1
Scan saved at 16:32:48, on 22.01.2006
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\WINNT\System32\nvsvc32.exe
C:\PVSW\BIN\W3SQLMGR.EXE
C:\PVSW\BIN\NTBTRV.EXE
C:\WINNT\system32\regsvc.exe
C:\PVSW\BIN\NTDBSMGR.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wm.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\dpmw32.exe
C:\WINNT\System32\NWTRAY.EXE
C:\WINNT\System32\RunDll32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\eclientn.exe
D:\KeoWin32\Tools32\SwitchBTV\SwitchBTV.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\System32\internat.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Utilities\WallpFlip.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
D:\KeoWin32\Tools32\Text2Plain\Text2Plain.exe
C:\Utilities\WinKey\WinKey.exe
C:\WinCmd\TOTALCMD.EXE
C:\WINNT\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\DD\OMa\Oma.exe
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Utilities\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.orf.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.10.1:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINNT\System\SmWizard.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ETapiSt] "C:\Programme\ESTOS\ProCall\etapist.exe" -autostart
O4 - HKLM\..\Run: [ETapiNotify] eclientn.exe
O4 - HKLM\..\Run: [PVSWSwitch] D:\KeoWin32\Tools32\SwitchBTV\SwitchBTV.exe /hide=true
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [__RegSvr32] C:\WINNT\System32\msmsgs.exe
O4 - HKLM\..\Run: [__intell32.exe] C:\WINNT\System32\intell32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: KEOPS Wallpaper Flipper.lnk = C:\Utilities\WallpFlip.exe
O4 - Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O4 - Startup: Text2Plain.lnk = D:\KeoWin32\Tools32\Text2Plain\Text2Plain.exe
O4 - Startup: Verknüpfung mit WinKey.exe.lnk = C:\Utilities\WinKey\WinKey.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - h**p://w*w.parallelgraphics.com/bin/cortvrml.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B42D2CE-5534-4DD1-A1C0-557462E91EFC}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pervasive.SQL (relational) - Pervasive Software Inc. - C:\PVSW\BIN\W3SQLMGR.EXE
O23 - Service: Pervasive.SQL (transactional) - Unknown owner - C:\PVSW\BIN\NTBTRV.EXE
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\System32\r_server.exe" /service (file missing)
O23 - Service: Novell Arbeitsstations-Manager (WM) - Novell, Inc. - C:\WINNT\System32\wm.exe

Gruß, Jim Knopf

Ok, dann wollen wir mal.

Zitat:

Zitat von Jim-Knopf

C:\PVSW\BIN\NTDBSMGR.EXE
C:\WINNT\System32\internat.exe
D:\DD\OMa\Oma.exe

Die sehen merkwürdig aus. Lass die Dateien mal bei http://virusscan.jotti.org/ überprüfen.

Zeigen Start -> Ausführen -> cmd ->

netstat -abnov
und
tasklist /svc

Auffälligkeiten?

Also mit den Dreien ist es so:

1. NTDBSMGR.EXE = Datenbankserver Pervasive.SQL
2. internat.exe = Hat anscheinend mit dem Gebietsschema zu tun
3. OMa.exe = Office-Manager

1 und 3 sind sicher ok, 2 ziemlich sicher (laut Infos aus dem Web)

Zitat:

Zitat von Jim-Knopf

Also mit den Dreien ist es so:

1. NTDBSMGR.EXE = Datenbankserver Pervasive.SQL
2. internat.exe = Hat anscheinend mit dem Gebietsschema zu tun
3. OMa.exe = Office-Manager

1 und 3 sind sicher ok, 2 ziemlich sicher (laut Infos aus dem Web)

Joa, stimmt, die internat.exe is nur gefährlich, wenn sie nicht im System32 Ordner ist, hatte ich übersehen. Dachte besonders bei der NTDBSMGR.EXE, dass da was nicht so ganz stimmt, weil man über Google meistens Fälle erfährt, in denen das Teil dauerhaft ne hohe CPU-Auslastung wie bei dir verursacht. Das könnte also bei dir auch die Quelle für Problem Nr.1 sein.

Hallo Marc!

-----------------------------------------
Bei TList sind mir nicht alle bekannt:
-----------------------------------------
0 System Process
8 System
144 SMSS.EXE
168 CSRSS.EXE Title:
164 WINLOGON.EXE Title: NetDDE Agent
216 SERVICES.EXE Svcs: Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,lanmanworkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,Wmi
228 LSASS.EXE Svcs: PolicyAgent,SamSs
396 svchost.exe Svcs: RpcSs
428 spoolsv.exe Svcs: Spooler
464 AVGUARD.EXE Svcs: AntiVirService
480 AVWUPSRV.EXE Svcs: AVWUpSrv
500 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
532 incdsrv.exe Svcs: InCDsrv
556 nalntsrv.exe Svcs: NALNTSERVICE
664 nvsvc32.exe Svcs: NVSvc
684 w3sqlmgr.exe Svcs: Pervasive.SQL (relational)
700 ntbtrv.exe Svcs: Pervasive.SQL (transactional)
740 regsvc.exe Svcs: RemoteRegistry
768 ntdbsmgr.exe
776 mstask.exe Svcs: Schedule
696 WinMgmt.exe Svcs: WinMgmt
880 wm.exe Svcs: WM
908 MsPMSPSv.exe Svcs: WMDM PMSP Service
1328 explorer.exe Title: Program Manager
1408 dpmw32.exe Title: DPMW32.EXE Main Window
1416 nwtray.exe Title: NetWareProviderIcons
1424 rundll32.exe Title: Hidden Main Window
1392 InCD.exe Title: PNPNOTIFICATIONRECEIVER_A6ECD0
1464 qttask.exe Title: QTPlayer Tray Icon
1480 eclientn.exe Title: ETapiNotifyExe
580 SwitchBTV.exe Title:
1484 AVGNT.EXE Title: AntiVir PersonalEdition Classic - Guard
720 Spamihilator.ex Title: Spamihilator
1504 wcescomm.exe Title: DccMan
1512 internat.exe Title:
1528 TeaTimer.exe Title: Spybot - Search & Destroy
1584 WallpFlip.exe Title: Wallpflip
1592 NaturalColorLoa Title:
1568 Text2Plain.exe Title: Text2plain
1608 WinKey.exe Title: WinKeyEngine
1628 TOTALCMD.EXE Title: Lister - [C:\Utilities\Hijack\hijackthis.log]
1164 IEXPLORE.EXE Title: svchost.exe verbraucht speicher - Google-Suche - Microsoft Internet Explorer
1544 Oma.exe Title: Priv.KEOPS Office-Manager
1612 EXCEL.EXE Title: Microsoft Excel - Passwort.xls
716 msimn.exe Title: Posteingang - Outlook Express
1704 WINWORD.EXE Title: Leibnitz-Seminar.doc - Microsoft Word
1756 taskmgr.exe Title: Windows Task-Manager
1824 CMD.EXE Title: C:\WINNT\System32\cmd.exe - tlist -svc
748 tlist.exe

-----------------------------------------
und NetStat sieht so aus:
-----------------------------------------
Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP TiM:epmap TiM:0 ABH™REN
TCP TiM:microsoft-ds TiM:0 ABH™REN
TCP TiM:1025 TiM:0 ABH™REN
TCP TiM:1032 TiM:0 ABH™REN
TCP TiM:1034 TiM:0 ABH™REN
TCP TiM:1583 TiM:0 ABH™REN
TCP TiM:3351 TiM:0 ABH™REN
TCP TiM:5679 TiM:0 ABH™REN
TCP TiM:18350 TiM:0 ABH™REN
TCP TiMop3 TiM:0 ABH™REN
TCP TiM:imap TiM:0 ABH™REN
TCP TiM:993 TiM:0 ABH™REN
TCP TiM:995 TiM:0 ABH™REN
TCP TiM:1034 TiM:18350 HERGESTELLT
TCP TiM:18350 TiM:1034 HERGESTELLT
TCP TiM:netbios-ssn TiM:0 ABH™REN
TCP TiM:427 TiM:0 ABH™REN
TCP TiM:1031 TiM:0 ABH™REN
TCP TiM:1206 TiM:0 ABH™REN
TCP TiM:1206 SRV2:netbios-ssn HERGESTELLT
TCP TiM:1258 SRV2op3 WARTEND
TCP TiM:1261 SRV2op3 WARTEND
TCP TiM:1262 SRV2op3 WARTEND
TCP TiM:3017 TiM:0 ABH™REN
UDP TiM:epmap *:*
UDP TiM:microsoft-ds *:*
UDP TiM:1029 *:*
UDP TiM:1035 *:*
UDP TiM:netbios-ns *:*
UDP TiM:netbios-dgm *:*
UDP TiM:427 *:*
UDP TiM:isakmp *:*
UDP TiM:1074 *:*

Leider scheints so einfach nicht zu sein (dann wäre ja zu sehr Sonntag...). Das Stoppen der Datenbank-Engine ändert nix am svchost-Buddeln. Übrigens lief die immer schon, kanns also eigentlich nicht sein zu können.

Zitat:

Zitat von Jim-Knopf

1480 eclientn.exe Title: ETapiNotifyExe
1584 WallpFlip.exe Title: Wallpflip
1592 NaturalColorLoa Title:
1608 WinKey.exe Title: WinKeyEngine

PID 1480 und 1608 bitte bei jotti prüfen lassen. 1584 und 1592 sind Dir bekannt, gut und notwendig?

1480 eclientn.exe Title: ETapiNotifyExe = Tapi-Client von Telefon-Software
1584 WallpFlip.exe Title: Wallpflip = Eigenes Progi
1592 NaturalColorLoa Title: = Monitor-Utility
1608 WinKey.exe Title: WinKeyEngine = Globales Win-Tasten-Tool

Sind alle vier bekannt, Virenprogramm (AntiVir) findet nichts. Probiere jetzt noch mit MWAV

Wie gesagt hängt die Workstation via Proxy im Internet. Deaktiviere ich die Lan-Verbindung, dann ist Ruhe.
Was tut der da??

Wie kann ich sehen, wer diese svchost-Instanz verwendet?

Hallo Ihr beiden!

Danke Euch vielmals für die Mühe!

Das Problem war dieses: Der Tapi-Client meiner Workstation wollte sich mit dem Tapi-Server auf einem anderen Rechner verbinden, konnte es aber nicht, weil dieser abgesoffen war (Netzwerk > svchost). Der zunehmende Speicherverbrauch ist vermutlich ein Fehler in der Tapi-Client-Software...

Nochmals Danke!

Schönen Wochenbeginn!
Martin