Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Svchost.exe erzeugt 80% Last

Svchost.exe erzeugt 80% Last


Plagegeister aller Art und deren Bekämpfung: Svchost.exe erzeugt 80% Last

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.08.2009, 22:28   #1
Torqus
 
Svchost.exe erzeugt 80% Last - Standard

Svchost.exe erzeugt 80% Last


Hallo Comunity !
habe kürzlich bemerkt das mein System viel zu hoch ausgelastet ist, zwischen 70-80%.

Okay also hab ich mit dem ProcessExplorer nachgeschaut und die 'Svchost.exe' als schuldigen ausfindig gemacht.
Hier im Board gelesen und erfahren das die 'Svchost.exe' nur ein Programm zum starten von einem/mehrerer Services ist, also habe ich geschaut welche Services diese 'Svchost.exe' beinhaltet.
Nun habe ich durch abschalten versucht die Processorlast wieder auf normalzustand zu bringen, aber keinen Erfolg gehabt.

Zwei Threads innerhalb der 'Svchost.exe' sind wohl für die Last verantwortlich nur weiss ich nicht wozu die Threads genau gehören.

Ein Scan nach Malware und Rootkit brachte keine negativen Ergebnisse.

Jetzt brauch ich Eure hilfe.


Hier noch ein paar Informationen/Logfiles

Gmer-Log
Code:
ATTFilter
GMER 1.0.15.15077 [58vqnlsz.exe] - http://www.gmer.net
Rootkit scan 2009-08-23 16:14:45
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT   BA77A2D6                                                                                                                              ZwCreateKey
SSDT   BA77A2CC                                                                                                                              ZwCreateThread
SSDT   BA77A2DB                                                                                                                              ZwDeleteKey
SSDT   BA77A2E5                                                                                                                              ZwDeleteValueKey
SSDT   BA77A2EA                                                                                                                              ZwLoadKey
SSDT   BA77A2B8                                                                                                                              ZwOpenProcess
SSDT   BA77A2BD                                                                                                                              ZwOpenThread
SSDT   BA77A2F4                                                                                                                              ZwReplaceKey
SSDT   BA77A2EF                                                                                                                              ZwRestoreKey
SSDT   BA77A2E0                                                                                                                              ZwSetValueKey
SSDT   BA77A2C7                                                                                                                              ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!ZwCallbackReturn + 2D4C                                                                                                  805045E8 4 Bytes  JMP B8BA77A2 \SystemRoot\system32\DRIVERS\nv4_mini.sys (NVIDIA Compatible Windows 2000 Miniport Driver, Version 181.22 /NVIDIA Corporation)
?      C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                                            Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                  
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                       C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                       0
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                         
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                           0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                   
Reg    HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                     0xD4 0x05 0x9F 0x3A ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                                      
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                   C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                   0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                                             
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                          0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                       0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                                       
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                 0x4A 0x98 0xEC 0x2F ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                  
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                       C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                       0
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                         
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                           0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                   
Reg    HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                     0xD4 0x05 0x9F 0x3A ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                                  
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                                       C:\Programme\DAEMON Tools\
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                                       0
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                                    0xA2 0x65 0x9B 0x93 ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)                         
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                                              0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                                           0x12 0x20 0xB7 0xD2 ...
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)                   
Reg    HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                                     0x4A 0x98 0xEC 0x2F ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}                       
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}@hablomlopjjgfglf      0x67 0x61 0x69 0x6A ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{74341D87-CDB1-ED8C-A106-198F1686DF75}@iafmkaclokcibcdifp    0x62 0x61 0x6C 0x6A ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}                       
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}@jaapebpldfgealjkcpdo  0x6B 0x61 0x68 0x6B ...
Reg    HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{DB198137-2905-45A1-65FC-D5F17629F2D3}@iaknmeajblkejkelnl    0x6B 0x61 0x68 0x6B ...

---- EOF - GMER 1.0.15 ----
Leider sind die RSIT Logdateien zu gross für die Code-Tags

Ich hoffe mir kann geholfen werden

cu
Miniaturansicht angehängter Grafiken
Svchost.exe erzeugt 80% Last-processexplorer-svchost.jpg  

Alt 24.08.2009, 00:11   #2
undoreal
/// AVZ-Toolkit Guru
 
Svchost.exe erzeugt 80% Last - Standard

Svchost.exe erzeugt 80% Last


Lass' den PC mal eine Weile so laufen.
Evtl. läuft da grade kein Windows Update...
__________________

__________________
Alt 24.08.2009, 08:08   #3
Torqus
 
Svchost.exe erzeugt 80% Last - Standard

Svchost.exe erzeugt 80% Last


Hallo Undoreal,
ich bin mir sehr sicher das da kein Windows Update läuft.

1. Laut Aussage vom Windows Updatecenter: Es stehen keine wichtigen Updates für Ihren Computer zur Verfügung.

2. Im Task-Manager ist keinerlei Datenbewegung zu sehen.

3. Selbst nach drei, vier oder auch fünf Stunden liegt die last bei 70-80%

Ich kann mich auch irren deshalb hier noch Netstat ausgaben.

Code:
ATTFilter
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\***>netstat

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    G******:1034           localhost:27015        HERGESTELLT
  TCP    G******:5152           localhost:1082         SCHLIESSEN_WARTEN
  TCP    G******:27015          localhost:1034         HERGESTELLT
  TCP    G******:1107           207.46.198.249:http    WARTEND


C:\Dokumente und Einstellungen\***>netstat -b

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status           PID
  TCP    G******:1034           localhost:27015        HERGESTELLT     2924
  [iTunesHelper.exe]

  TCP    G******:27015          localhost:1034         HERGESTELLT     1892
  [AppleMobileDeviceService.exe]

  TCP    G******:5152           localhost:1082         SCHLIESSEN_WARTEN    1956

  [jqs.exe]


C:\Dokumente und Einstellungen\***>netstat -a

Aktive Verbindungen

  Proto  Lokale Adresse         Remoteadresse          Status
  TCP    G******:epmap          G******.net:0          ABHÖREN
  TCP    G******:microsoft-ds   G******.net:0          ABHÖREN
  TCP    G******:2869           G******.net:0          ABHÖREN
  TCP    G******:1026           G******.net:0          ABHÖREN
  TCP    G******:1034           localhost:27015        HERGESTELLT
  TCP    G******:5152           G******.net:0          ABHÖREN
  TCP    G******:5152           localhost:1082         SCHLIESSEN_WARTEN
  TCP    G******:5354           G******.net:0          ABHÖREN
  TCP    G******:27015          G******.net:0          ABHÖREN
  TCP    G******:27015          localhost:1034         HERGESTELLT
  TCP    G******:netbios-ssn    G******.net:0          ABHÖREN
  UDP    G******:microsoft-ds   *:*
  UDP    G******:isakmp         *:*
  UDP    G******:1025           *:*
  UDP    G******:4500           *:*
  UDP    G******:64816          *:*
  UDP    G******:ntp            *:*
  UDP    G******:1035           *:*
  UDP    G******:1040           *:*
  UDP    G******:1042           *:*
  UDP    G******:1052           *:*
  UDP    G******:1083           *:*
  UDP    G******:1900           *:*
  UDP    G******:ntp            *:*
  UDP    G******:netbios-ns     *:*
  UDP    G******:netbios-dgm    *:*
  UDP    G******:1900           *:*
  UDP    G******:5353           *:*

------------- EOF ---------------
Ich habe die vermutung das 'Svchost.exe' bzw. ein Service zwei Threads starten will und den start nicht abschliessen kann (siehe Bildschirmfoto aus erstem Beitrag)
denn die Threads sind so auch nach Stunden noch da mit ständig wechselnder Last um 40% je Thread.

Aber danke für die Antwort.
cu Torsten
__________________
Alt 24.08.2009, 09:40   #4
undoreal
/// AVZ-Toolkit Guru
 
Svchost.exe erzeugt 80% Last - Standard

Svchost.exe erzeugt 80% Last


Mache bitte mit Spybot alle Immunisierungen rückgängig die das Prog durchgeführt hat.
Deinstalliere das Programm danach mit dem RevoUninstaller im erweiterten Modus.
Räume danach mit dem CCleaner auf.

Du saugst über P2P. Da muss man sich nicht wunder wenn man sich was einfängt.

Was für ein Laufwerk hat bei dir den bucjstaben I ?


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:
I:\setup.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 25.08.2009, 10:42   #5
Torqus
 
Svchost.exe erzeugt 80% Last - Standard

Svchost.exe erzeugt 80% Last


Hallo,

Zitat:
Du saugst über P2P. Da muss man sich nicht wunder wenn man sich was einfängt.
Hatte ich mal ist aber schon länger als ein dreiviertel Jahr her das ich P2P das letzte mal benutzt habe!
Habe mich auch gleich vom 'Esel und Frosch' verabschiedet!

Zitat:
Mache bitte mit Spybot alle Immunisierungen rückgängig die das Prog durchgeführt hat.
Deinstalliere das Programm danach mit dem RevoUninstaller im erweiterten Modus.
Räume danach mit dem CCleaner auf.
cu Torsten
Habe ich getan.
Frage: Sollte man Spybot grundsetzlich nicht benutzen?

Zitat:
Was für ein Laufwerk hat bei dir den bucjstaben I ?
Mein DVD-Ram Laufwerk hat den buchstaben I.
Die CD/DVD mit der setup.exe liegt nicht mehr im Laufwerk so das ich nicht weiss auf welcher diese zu finden ist um sie Prüfen zu lassen.


Alt 25.08.2009, 12:06   #6
undoreal
/// AVZ-Toolkit Guru
 
Svchost.exe erzeugt 80% Last - Standard

Svchost.exe erzeugt 80% Last


Zitat:
Sollte man Spybot grundsetzlich nicht benutzen?
Genau. Das Prog taugt nicht viel und stellt ne Menge Blödsinn an.

Zitat:
Mein DVD-Ram Laufwerk hat den buchstaben I.
O.k. dachte ich mir schon.

Also ich kann nichts verdächtigess erkennen.

Problem unverändert?
__________________
--> Svchost.exe erzeugt 80% Last

Antwort

Themen zu Svchost.exe erzeugt 80% Last
ausgelastet, bytes, c:\windows, code, datei, malware, microsoft, not, nvidia, procexp113.sys, programm, programme, registry, rootkit, rsit, scan, services, shell, software, starten, svchost.exe, system, system32, tools, version, zu hoch


« Trojaner TR/Agent.ztb - taucht als eluuo.eup in den lokalen Einstellungen auf | b.exe und/oder andere Schädlinge »


Ähnliche Themen: Svchost.exe erzeugt 80% Last


  1. wausvcs erzeugt konstante 50% CPU Auslastung.
    Log-Analyse und Auswertung - 24.08.2015 (30)
  2. Problem svchost.exe erzeugt hohe RAM-Auslastung
    Plagegeister aller Art und deren Bekämpfung - 06.05.2015 (26)
  3. WIN7 Absturz, CHKDSK erzeugt kurzfristig mehr Speicherplatz auf SSD
    Alles rund um Windows - 22.10.2013 (2)
  4. c:\Windows\System32\conhost.exe erzeugt 99% GPU-Last
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (11)
  5. ad.yieldmanager erzeugt nervige Werbebanner/Popups
    Plagegeister aller Art und deren Bekämpfung - 10.03.2013 (9)
  6. Infizierung Verschlüsselungstrojaner - Erzeugt Dateien ohne Endung
    Plagegeister aller Art und deren Bekämpfung - 29.01.2013 (3)
  7. Trojaner, welches Lied öffnet, Meldung erzeugt und Desktop-Hintergrundbild ändert
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (1)
  8. winarchiv.exe erzeugt weißen Bildschirm unter XP
    Plagegeister aller Art und deren Bekämpfung - 05.06.2012 (1)
  9. winarchiv.exe erzeugt weißen Bildschirm unter XP
    Alles rund um Windows - 04.06.2012 (2)
  10. Firefox erzeugt Fehlermeldung beim start // ipoint.exe ist fehlerhaft
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (19)
  11. Lüfter erzeugt mächtigen Lärm. Kann etwas locker sein?
    Netzwerk und Hardware - 30.07.2010 (11)
  12. Dateien mit TR/Dldr.Alphabet.11264.51 werden erzeugt
    Log-Analyse und Auswertung - 09.01.2008 (2)
  13. Rechner infiziert, HIJ Logfile erzeugt
    Log-Analyse und Auswertung - 27.12.2007 (4)
  14. Trojaner erzeugt usb496.dat - quarantäne, aber dauerhafte Lösung?
    Log-Analyse und Auswertung - 17.05.2007 (5)
  15. WinAntivirus Pro 2006 Trojaner erzeugt regelmässig Popup Fenster
    Log-Analyse und Auswertung - 02.07.2006 (4)
  16. svchost.exe erzeugt 100% CPU-Auslastung
    Log-Analyse und Auswertung - 06.12.2005 (3)
  17. Welches Programm erzeugt Javascript auf Websteiten??
    Plagegeister aller Art und deren Bekämpfung - 28.10.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Svchost.exe erzeugt 80% Last - Hallo Comunity ! habe kürzlich bemerkt das mein System viel zu hoch ausgelastet ist, zwischen 70-80%. Okay also hab ich mit dem ProcessExplorer nachgeschaut und die 'Svchost.exe' als schuldigen ausfindig - Svchost.exe erzeugt 80% Last...
Archiv
Du betrachtest: Svchost.exe erzeugt 80% Last auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19