CPU-Auslastung / svchost.exe nach Virenfund

Partner:
Feiertag?
  • Folgendes Problem:


    Mein AntiVir hat letzte Woche an zwei oder drei Tagen hintereinander 'nen Haufen Malware gefunden - urplötzlich. War eine dll-Datei im Windows/System32- Ordner, die man aber auch nicht löschen könnte, weil der Zugriff darauf ständig verweigert wurde. Also trat der Fehler ca. 10x pro Minute auf, weil die Software sie nicht wegbekam. Also in Quarantäne verschoben. War dann erledigt.


    Die Meldung kommt jetzt nicht mehr, allerdings jedoch, habe ich nun eine permanent hohe CPU-Auslastung von konstant 50%<, was ich im TaskManager rausfinden konnte, daß es von einer der svchost.exe Dateien kommt. Beende ich diese, poppt eine Fehlermeldung auf, daß das System gleich runtergefahren wird. Logischerweise. Was mir zudem noch auffällt, ist, daß immer nur einer der beiden Prozessoren ausgelastet ist, d.h. der eine verrichtet normal seine Arbeit und zeigt mir im TaskManager unter Systemleistung normale Rechenwerte an, der andere bleibt stets auf 95-100%. Wenn ich den Rechner ohne Internetverbindung starte, bleibt alles normal, sobald ich aber WLAN aktiviere, geht's schon dahin.


    Die Geschichte blockiert mir dermaßen die Leitung, daß mir sogar die Internetverbindung öfters flöten geht. Habe zwar Verbindung zum Netzwerk, jedoch bekomm' ich beim öffnen neuer Sites immer nur Fehler-Meldungen a lá "Seite kann nicht angezeigt werden". Ich muß dann immer schnell die Verbindung nunterbrechen, wieder verbinden und dann geht's wieder weiter für 1-2 Minuten. Während ich also dies hier versuche abzuschicken, habe ich also bestimmt schon 2x wieder die Leitung gekappt, um es endlich durchzubekommen.


    Der Lüfter vom Netbook geht sonst auch immer erst ziemlich spät an, jetzt läuft er praktisch permanent. Vermute eben, daß das mit der CPU-Auslastung zusammenhängt.


    Haben wir ein paar Computer-Cracks im Board, die mir hier helfen können? Des wär' super fein..!


    Danke!

  • system komplett platt machen und neu aufsetzen. das die einzige sichere sache. paritionen löschen nich vergessen vorm formatieren.


    haben das gerade mit allen pc´s auf arbeit hinter uns X(

  • Sodele, aufgrund von Malware bzw. Virenfund den Rechner neu zu installieren schiesst dann doch etwas am Ziel vorbei. Vermutlich wurde eine DLL in Dein System eingeschleust die nun von der svchost ausgeführt wird. Alles so gesehen kein Thema.


    Du kannst Du z.b. mit http://www.neuber.com/free/svchost-analyzer/deutsch.html nachschauen ob dies der Fall ist.


    Weiterhin empfehle ich Dir, den Rechner "abgesichert" hochzufahren und entsprechend nochmals Deine AntiViren-Lösung den Rechner durchsuchen zu lassen. Viele Systemkomponenten werden im abgesicherten Modus nicht geladen, sodass die Virensoftware hier besser/freieren Zugriff aufs System erhält.


    Grüße
    Roman

  • maleware zieht meist auch noch keylogger etc. nach sich um ein 100% sauberes system zu haben gibts nix anderes als neu aufsetzen.


    mir sind meine kontodaten da zu wichtig als 45min win neu drauf zu spielen.

  • Ich kann FoxMulder nur zustimmen. Rechner im abgesicherten Modus hochfahren.
    Ich vermute, dass sich die genannte Datei im Autostart eingenistet hat und
    dann lässt sie sich nicht entfernen.
    Und dann würde ich ein besseres Virenprogramm empfehlen.
    AntiVir ist zwar umsonst. Aber das war`s dann auch schon. Ich habe bisher die besten Erfahrungen mit GData Internet Security und Kaspersky gemacht.


    Aufsetzen kann man den Rechner immer noch.

    Einmal editiert, zuletzt von Zweeny ()

  • Sodele, dank euch erst mal, Jungs.


    Neu aufsetzen ist genau das, was ich eigentlich vermeiden will.


    Und, ja, es war eine dll, die sich im system32 eingenistet hatte. Wird zwar nicht mehr gefunden, aber die svchost.exe ist immer noch über 50% ausgelastet, was sie sonst eigentlich nie tat.


    Mir ist noch aufgefallen, daß der Rechner so lange okay bleibt, bis ich eine Internetverbindung herstelle. Was dann zudem noch passiert, ist, daß ich oft "Verbindungsfehler" im Browser bekomme und Seiten nicht mehr öffnen kann. Muß dann erst zig Mal aktualisieren bis es endlich wieder klappt.


    Werd's mal mit dem Link von FoxMulder ausprobieren, hoffe das bringt was. Hab' ich damit die Möglichkeit, das System auch zu reparieren?


    Habe mich mal bisschen im Netz schlau gemacht und viele Leute sprechen hier von einem Programm names HiJackThis (HJT). Hab's mir mal runtergeladen, aber noch nichts damit angefangen weil mir hier die Kenntnisse fehlen. Könnt' ihr das?

  • Ist ein Begriff, aber sehr umfangreich und für dich als Laie in der Anwendung sehr kritisch :D


    Schausu hier: http://www.hijackthis.de/de


    Wie gesagt, neu starten und den Virenscanner abgesichert drüberrasseln lassen...parallel zu Deiner Virenlösung kannst Du noch http://www.safer-networking.org/de/index.html mal prüfen lassen. Hier wird auch der Systemstart geprüft und Dir wird ziemlich simpel verdeutlicht was da nicht hingehört :D


    //EDIT: Genannter analyser zeigt zur zugehörigkeiten an, Spybot zeigt an ob gut oder böse und repariert/löscht auch entsprechend je nach Wunsch

    Einmal editiert, zuletzt von FoxMulder ()

  • Also hab' im angesicherten nochmal AntiVir drüberlaufen lassen..
    kein Ergebnis!


    Mit den andern beiden von dir empfohlenen Dingen weiß ich ehrlich gesagt nichts anzufangen. Das Tool von Neuber is' zwar recht übersichtlich und spuckte mir auch zwei "Fehler" aus, nur weiß ich nicht, wie ich dann auf diese reagieren kann/soll..??!


    Das Pferd scheint inzwischen vom system32 in den TEMP-Ordner gewandert zu sein.

  • AntiVir allein ist zu wenig. Zusätzlich einmal pro Woche SpyBot drüber laufen lassen ist Pflicht!

  • Kauf dir für 29 Euro die Internetsecurity von GData und du hast Deine
    Ruhe.

  • Oder kauf Dir einen Macintosh, dann brauchst Du keinen Virenscanner und keine Fierwall mehr. :)

  • Leute Leute, was ich als nächstes kaufe bleibt noch Zukunft, erst einmal muß ich den Rechner hier wieder flott bekommen.


    das Ding kappt mir dauernd die Internet-Verbindung, ich muß erst zig mal aktualisieren oder neu laden, bis es endlich wieder funzt.




    Edit: Hab' Spybot durchlaufen lassen, ahtte zwei Cookie-Enträge gefunden, die nicht ganz klar waren und wurden gelölscht. Problem besteht jedoch weiterhin...


    Mann, ich will echt nich 's System neu aufsetzen, da is sowas von scheiße, wirklich. Hat keiner denn noch einen Tipp für 'nen armen Moderator??

  • Bisherige Erkenntnisse: AntiVir, Spybot und AdAware finden nichts mehr.


    Eine der svchost-Dateien gibt aber immer noch 50% CPU-Auslastung. Ein Prozessor arbeitet normal, der andere ist permanent auf 100% ausgelastet.


    Wenn bei mir eine Internetverbindung besteht, habe ich kontinuierlich mehr Upload als Download - gegenwärtig nach 5 hrs Onlinezeit 1.360.000 gesendete und nur 730.000 empfangene Pakete. Da kann also was nicht stimmen.


    Habe noch von Neuber den Security Task Manager drüberlaufen lassen uns gesehen, daß die svchost mit einer IP-Adresse verbunden ist, die mir meiner Meinung nach aber nicht nach meiner gewöhnlichen ausschaut.


    Wie kann ich die einbremsen, daß sie das nicht mehr tut? :(


    Danke für eure Hilfe.. :)

  • Soo, kurzer Endbericht meinerseits:


    Nachdem das WLAN ja noch einigermaßen funzte, habe ich mich entschlossen mich ans HiJackThis-Forum zu wenden.


    -> Kostenlos registrieren, -> neuen Thread aufmachen, -> Problem posten


    Nach ein paar Stunden sofort der erste Kontakt mit einem Mod, der mir für die folgenden drei Tage immer wieder bis ins Detail beschriebene Schritt-für-Schritt- Anweisungen und Instruktionen gab, was ich als nächstes zu tun hatte.


    Eines gleich vorweg: Man muß diesen Leuten sehr viel Vertrauen schenken und 90% der Sache in Selbstarbeit vornehmen. da es sich hierbei aber um Mods handelt, habe ich das nun einmal durchgezogen um nicht horrende Summen Kohle auszugeben.


    AntiVir, SpyBot und AdAware konnte ich in die Tonne treten, weil das alles nichts brachte.


    Der Mod gab mir Anweisungen, verschiedene Programme wie OTL, Gmer, HiJackThis, Malwarebytes, Avenger, CCleaner, SystemLook und einige weitere in bestimmten Reihenfolgen und unter bestimmen Einstellungen zu benutzen, was letztlich zum Erfolg führte und mein Rechner nun wieder auf zwei gesunden Füßen steht.


    Wer sich das Ganze mal näher betrachten will - hier der Link zu meinem Thread: Klick mich!


    Fazit: Alles in allem bin ich wieder einmal sehr froh darüber, daß es auf dieser Welt noch Leute gibt, die anderen ohne finanzielle Absichten helfen wollen und auch können.


    Die PayPal-Spenden-Funktion des HJT-Forums werde ich auf jeden Fall benutzen um mich für den wissensreichen Beistand in angemessenem Maße erkenntlich zu zeigen. Die Spenden-Funktion ist übrigens beinah dieselbe, wie wir sie hier auch schon zur Verfügung gestellt haben, anlässlich der Aktion mit den Forums-Visitenkarten. *knick-knack*


  • HI Henry


    ich weiß was es ist. hatte genau das selbe Phenomen mit der SVChost.exe
    Auch das die CPU Auslastung erst nach aktivierter Internetverbindung hoch ging.


    Ich hatte es damals mit irgendwelchen Spezialtools (edit: sehe schon du hast diese auch schon im hijackthis forum empfohlen bekommen), deren Namen ich leider nicht mehr weiß irgendwie hinbekommen, dass die Auslastung auch runter ging. Nur im endeffekt hat es nichts gebracht, da es eine Kombination aus Rootkit und Virus ist, welche haufen backdoors auf deinem Rechner aufmachen, über den du dir alle 2 Tage einen neuen Virus einfängst.


    Ahso, das Rootkit wird über eine unsichtbare Datei im Autostart-Ordner gestartet, die sich kaum löschen läst. Der SVChost Prozess, der die Auslastung verursacht ist DCOMProzessStart (PID ist glaub ich 1000+x)


    Fakt ist, dein Rechner ist komporomitiert. Nur komplett neu installieren löst das Problem!!!

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!