svchost.exe 100 % Auslastung



  • Auf meinem PC hat der Prozess svchost.exe mit dem Benutzernamen SYSTEM auf Windows XP 100 % Auslastung. Ich hab auf verschiedenen Seiten im Internet geguckt, woran es liegen könnte, aber die meisten labern nur dumm rum. Deshalb wollte ich hier mal fragen, was das sein könnte. Wenn ich die Internetleitung kappe, tritt der Fehler nicht auf. Ich habe gelesen, dass es mit dem automatischen Update zusammenhängt. Das habe ich in der Systemsteuerung deaktiviert, aber der Fehler existiert weiter.
    Was kann ich dagegen tun?



  • tasklist /SVC
    

    Ausfuehren und schauen welche Services von der svchost die Amok laeuft gestartet wurden und der Reihe nach diese Services deaktivieren um den Fehlerhaften zu finden.



  • Ich kann doch nicht auf gut Glück jetzt mal eben sämtliche Services rausschmeißen. Außerdem, wenn es eines dieser Programme wäre, dann wäre doch dieses Programm im Taskmanager bei 100 % Auslastung und nicht die svchost.exe selbst.



  • Hinter svchost kann so ziemlich alles liegen. Zum Beispiel auch ein kleiner Wurm. Aber das würdest Du mit

    netstat -a
    

    ja schnell erkennen.



  • @Shade Of Mine:
    Ich glaub, ich hab dich falsch verstanden. Du meinst, ich soll die zum Programm gehörenden Dienste deaktivieren, nicht die Programme, die aufgelistet wurden.
    Nun gut, aber wie deaktiviert man diese Dienste? Und wie erkenne ich, welche der svchosts die Problematische ist? Und vor allem: Nehmen wir mal an, ich erkenne jetzt, dass es zum Beispiel am Dienst seclogon liegt. In wie weit hilft mir das in der Praxis weiter?

    @volkard:
    Tut mir leid, ich bin nicht so der Überexperte, was diese ganzen Sachen angeht. Was sollte ich mit netstat sehen, wenn es ein Wurm ist?



  • Bei tasklist /SVC siehst Du was hinter dem svchost mit 100% Systemlast liegt. Das ist ein Dienst, den Deaktivierst Du mit Deinen Adminrechten in der Systemsteuerung->Verwaltung->Dienste. Hab grad kein XP am Laufen, die Namen sollten aber ungefähr stimmen.



  • Laut Internet hat XP Home diesen Befehl nicht. Dann lad statt dessen den Process Explorer v12.03 von Sysinternals herunter:
    http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

    Mit netstat siehst Du mit welchen anderen Rechnern Dein Computer Kontakt aufnimmt.



  • Habe XP und tasklist /SVC klappt.



  • OK, das mit dem tasklist /SVC und wie ich an die Dienste rankomme und sie deaktiviere hab ich jetzt kapiert.
    Ich müsste nun nur folgendes wissen: In der Konsole steht für jede svchost.exe ja eine PID. Aber im Taskmanager steht diese ID nicht. Wie bekomme ich jetzt raus, welche der fünf bis sechs svchost.exe aus dem tasklist-Befehl die ist, die im Task-Manager 100 % Auslastung hat?



  • Im Taskmanager kann man in den Optionen eine Menge weiterer Spalten einblenden. Schreib mal welcher Dienst es ist. (Neugier)



  • Es ist das svchost mit den Diensten DcomLaunch und TermService. Also hab ich die beiden Dienste DCOM-Server-Prozessstart und Terminaldienste erstmal deaktiviert und den PC neugestartet. Und obwohl die Dienste jetzt nicht mehr laufen (der jeweilige Status im Dienstefenster ist leer), ist die Auslastung dieser svchost.exe immer noch bei 100 %. Was könnte es jetzt noch sein? Einfach das gesamte Programm im Taskmanager abschießen geht auch nicht, da er dann das System herunterfahren will.


  • Mod

    Klingt stark nach "ich brauche einen Virenscanner" 🙂

    MfG SideWinder



  • Nimm den bereits genannten "Process Explorer":
    Maus über die "svchost.exe", welche die hohe CPU-Last verursacht, hovern und er zeigt die damit verbundenen Dienste an...



  • Hast Du sie wirklich deaktiviert oder nur beendet und dann den Rechner neue gestartet?



  • SideWinder schrieb:

    Klingt stark nach "ich brauche einen Virenscanner" 🙂

    ... oder deinstallieren desselbigen!

    Ich hatte das Problem bei meinem Affen, der hat beim Scannen von Dateien immer auch die CPU-Last von svchost.exe hochgetrieben. Deinstalliert, weg. Neuer Virenscanner - kein Problem mehr.



  • War zuletzt auf dem Notebook meiner Frau genauso. Alle 3 Virenscanner von c't Desinfect CD haben trotz aktueller Signaturen nichts finden können.

    Habe dann mit Sysinternals Process Explorer alle offenen Handles von diesem DcomLauncher angeschaut und es gab eine seltsame Pipe zu einem Exe im User Autostart-Verzeichnis. Diese war nicht zu finden -> Rootkit versteckt sie.

    Habe dann unter Desinfect in Quarantäne beschoben und an Virustotal geschickt. 5 von 41 Virenscannern sind angesprungen (Heuristik).

    Habe dann in der Anubis Sandbox und CWSandbox geschaut, was das Teil so treibt, und darüber noch ein paar Bestandteile der Malware entdeckt.

    Außerdem noch verdächtige Dateien C:\windows\system32 recherchiert und mit Virustotal geprüft. Halt alles, was kurz vor dem Auftreten des Problems verändert oder erzeugt wurde, oder seltsames Datum hatte (Zukunft, 1980, etc.)

    Bin kein Virenexperte. Das ganze hat mich gut ein Wochenende beschäftigt und ich kann nur hoffen, dass der Rechner clean ist. Er zeigt keine Auffälligkeiten (also alle Malware funktioniert gut und unauffällig 😉

    Ja, mir ist bewusst, dass man ihn plattmachen sollte und alles neu aufsetzt, aber meine Frau braucht den zur Arbeit und meint, es gäbe für Spyware nicht viel zu holen.

    Online-Banking macht sie jetzt auf mein Anraten hin nur noch mit c't Bankix-CD.



  • Noch Jemand schrieb:

    Ja, mir ist bewusst, dass man ihn plattmachen sollte und alles neu aufsetzt, aber ...

    Von wegen nur unwichtige Daten ... das geht solange gut, bis mal einer einen USB-Stick reinsteckt und zackbumm ist die Malware von der Virenschleuder auf einem anderen Rechner und dort geht das Spiel von vorne los.

    Bei sowas hilft nur DEFCON 1: format C: /u (+ neuer MBR + alle USB-Sticks scannen und ggf. eliminieren)


Log in to reply