Nach Aktivierung der Netzwerkverbindung 100% CPU Load von svchost.exe für 8-10sek?
 

Hallo liebe Leuten,

ich schreibe hier auf meiner alten P4 Notebook Möhre, die softwaremäßig eigentlich ganz gut entschlackt ist und noch läuft wie eine Eins. Seit einiger Zeit habe ich das Problem, dass mit dem Start jeder Netzwerkverbindung die SVCHOST.EXE 8-10sek 100% CPU load hat. Starte ich zusätzlich eine VPN-Verbindung ergibt sich das gleiche Problem erneut. Generell stört mich das nur leicht, aber da ich überhaupt nicht weiß, wo es herkommt, bin ich irritiert und würde gerne Eure Meinung wissen. Anbei findet ihr den HijackThis-Log, in dem ich nichts störendes entdecken kann. Google hat mich auch nicht weitergebracht. Allerdings gibt es ja auch Millionen Probleme, die bei der SVCHOST.exe auftreten können.

Da ich immer einen aktuellen Virenscanner drauf habe und alle DCOM/sonstwie Remote Sachen deaktiviert hab, hab ich mich gegen SP1/2 entschieden. Das mag jeder sehen wie er möchte, aber bis dato hatte ich nie Probleme und außerdem den Segen von einigen Admins. Ich würde das gerne so lassen, weil der Rechner schon mit SP1 nicht mehr stabil läuft. In der aktuellen Konfiguration läuft der Rechner seit ca. 5 Jahren problemfrei.

Da ich weiß, dass hier ziemlich viele Cracks unterwegs sind, die unglaublich viel drauf haben, möchte ich es hier versuchen. Denen schon mal vielen Dank, die sich meiner Sache annehmen :daumenhoc!



=======================================
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:12:10, on 28.06.2010
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\...\AntiVir\Avira\AntiVir Desktop\sched.exe
C:\...\AntiVir\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\...\AntiVir\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\LTSMMSG.exe
C:\...\Microsoft ActiveSync 4.5\wcescomm.exe
C:\...\PRECESS EXPLORER\PROCEXP.EXE
C:\...\MICROS~1.5\rapimgr.exe
C:\WINDOWS\Explorer.EXE
D:\...\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\...\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\...\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [BIH] C:\WINDOWS\System32\rundll32.exe bih.dll,InitGauge
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\...\AntiVir\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\...\Microsoft ActiveSync 4.5\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Task Manager.lnk = C:\WINDOWS\system32\taskmgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\...\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\...\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\...\MICROS~1.5\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\...\MICROS~1.5\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\...\MICROS~1.5\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\...\MICROS~1\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\...\AntiVir\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\...\AntiVir\Avira\AntiVir Desktop\avguard.exe

Ich hab jetzt den SVCHOST.exe Prozess identifiziert, der dahinter steckt. Es ist der DNS-Service dnsrslvr.dll.

Aber wirklich weiter bringt mich das noch nicht...

/EDIT:

Mit Löschen des DNS Cache per ipconfig /displaydns folgt direkt das beschriebene Problem.

Hallo,

Das kann nicht Dein Ernst sein.
Ein aktueller Virenscanner kann nicht das Fehlen von essentiellen Sicherheitsupdates kompensieren, das geht überhaupt nicht.

Das müssen ja tolle Admins sein, die Dir ein so stark veraltetes System auch noch absegnen :balla: :pfui:
Installier ungegehend alle wichtigen Updates, SP3/IE8 und Folgeupdates!

Habe gerade gecheckt, dass nach der SpyBot Installation meine Hosts - Datei über 10.000 Einträge hat. kann das daher kommen?

Du weißt, was die hosts Datei macht?
Spybot selbst hat diese Einträge gemacht. Ist eine bekannte Funktion, nennt sich Immunisierung.

Danke erstmal für die Antwort :). Leider ist das SP1 tabu! Damit lief es nicht sauber. SP1 + SP2 habe ich noch nicht getestet. Allerdings habe ich aktuell keine Zeit groß rumzuinstallieren. Vorher Image ziehen, dann SPs drauf, vorher Festplatte aufräumen macht über USB 1.1 nicht sonderlich Spaß! Die Daten sowie die Installationen auf dem Gerät müssen genau so noch 3 Monate funktionieren, danach die Sintflut!

Ich weiß, wofür die hosts-Datei gut ist und ich weiß auch, dass SpyBot das aktive geändert hat. Allerdings weiß ich nicht, ob die bei jeder Netzwerkverbindung gescannt wird. Das würde das Lag erklären. Ist das so? Die Verbindung zu DNS legt das ja nahe...

/EDIT:

Ok, das wars tatsächlich! Dann hat mir nicht ein Schädling Angst gemacht, sondern das Sicherheitstool bzw. deren Immunisierung :lach:. Na gut, dann sollen mich die ~8sek auch nicht stören! Mit dem SpyBot-Update ist die hosts jetzt von 280kb auf 400kb noch größer geworden, aber ohne SPs ist das vermutlich nicht unvernünftig das so zu lassen.

Du sollst ja auch bis zum SP3 gehen...

Du stehst auf sehr dünnem Eis ohne SP... :balla:

Hatte noch nie nen Virus und die Kiste läuft 50h die Woche, wenn nicht mehr! Wenn man etwas umsichtig mit dem PC umgeht, nicht die falsche Software nutzt sondern die richtige, geht das durchaus. Außerdem hängt der Rechner in keinem Intranet. Der Kollege von mir hat es allerdings schon häufiger geschafft auf seinem völlig geupdatetem und professionell administrierten Intranet-Client Viren und Trojaner unter zu bringen :aufsmaul:.

Es geht ja auch nicht nur um die Sicherheit! Natürlich ist das ein Hauptaspekt, aber SPs und weitere Updates bügeln auch Fehler aus, sodass das OS insgesamt stabiler läuft.
SP1 wird schon länger nicht mehr von MS supportet, SP2 müsste eigentlich auch schon ausgelaufen sein.
Viele Programme setzen auf ein Windows XP mit min. SP2.
Große Festplatten (>137 GB) werden auch erst richtig ab SP1 unterstützt.

Nur um mal ein paar Beispiele zu nennen.

Auch das ist eine sehr gewagte These. Du hattest bisher Glück gehabt, kritische Sicherheitslücken erfordern keine Interaktion des Benutzers um das System zu kompromittieren.
Beispiele sind da die Würmer Sasser und Blaster, aber nun gut, Du bist ja nicht in einem Netzwerk mit diesem Rechner :rolleyes:
Dennoch kann ich es absolut nicht gutheißen, auf die wichtigsten SPs zu verzichten. Vllt wirst Du umdenken, wenn das System mal doch auf die Fresse fliegt :D

Ich hab hier ne 20 GB Platte im Rechner und auf den Support habe ich schon immer gepfiffen und alles irgendwie selber hin bekommen ;). Ich habe so viel Gedöns von XP abgeschaltet, dass ich jetzt ein wunderbar fixes und stabiles System habe. Bin voll zufrieden. Habe noch nen Netbook und nen anderes NoteBook, die ziemlich aktuell sind, aber auf denen der ganze Spielkram auch abgeschaltet ist oder es ist Linux drauf. Dieses NB hier ist hat aktuell nur einen Zweck und den erfüllt es wunderbar.

Alles was DCOM ist, ist aus! Unnötige Dienste: Aus. Nix Sasser und nix Blaster. Und ich tippe gerade von dem Teil. Das Ding hängt auch seine 50h die Woche im Netz! Und wenn das System auf die Fresse fliegt, habe ich nen Image, das zurückgespielt wird. Die persönlichen Daten werden sowieso jeden Tag inkrementell gesichert. Da geht auch nix verloren.

Fahre so ganz gut. Ärgerlich ist nur, dass USB 2.0 nich geht, aber die dumme PCMCIA Karte wollte sowieso nie wirklich funkionieren. Und über 100MBit LAN sicher ich gerne alles auf dem LinuxServer. Dem sind Sasser und Blaster egal.

Aber ansonsten hast Du natürlich Recht! Das Eis ist sicher nicht dick. Aber bisher hatte ich Glück. Aber die Platte hat über 12.000h hinter sich und die Kiste ist doch schon 8 Jahre alt. Ich rechne jeden Tag damit, dass sich die Kiste verabschiedet :D. Sie hat für nen Acer Laptop bisher verdammt lange gehalten :applaus:.

Und: Ich empfehle niemand anderem es so zu machen! Ich hab halt nen bischen Glück aber auch PC/Windowskenntnisse seit DOS 5.0 (wie lustige es früher immer wahr, wenn DOSSHELL die Dateien hochgezählt hat :uglyhammer:).