Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

svchost.exe hat 100% Systemauslastung!

Mitglied: cypo

blaster?

hallo admins,

erstma mein System:
Win2k SP4 + BlasterFix

Netzwerk:
Hardwarerouter inc. Firewall (WLAN)

Internet:
DSL

ich kämpf mich jetzt seit 2 Tagen durchs Netz um eine Lösung zu finden.
Leider sind immer nur Probleme mit dem Absturtz der svchost.exe beschrieben,
Mein Problem ist jedoch nicht der absturzt sondern die CPU-Auslastung die bei 100%
liegt!

Auf den Verdacht hin es könnte der "Blaster" Wurm sein hab ich den betroffenen Rechner
rechtzeitig vom netz abgeklemmt, so das die anderen kein Problem aufweisen!
Was meine vermutung bestätigt das es sich um einen wurm handelt... Das ganze tritt nur
bei Internetverbindung auf.

SP4 is drauf, genau so wie ich mehrer AntiVirenProgramme habe drüberlaufen lassen.
Fazit: nix
der Patch von Microsoft ist auch schon drauf, hilft aber wohl auch nichts
(Zwischenfrage: verhindert der Patch das befallen, ausbreiten oder die aktivität des Wurms?)
Es ist auch immer nur eine svchost.exe betroffen von den ca 3 - 4 die laufen!

Etwas merkwürdiger Nebenefekt:
ist der betroffene PC am Netz leiden alle PCs an kurzen ausfällen der Internetverbindung
Also genauer gesagt die LAN-Verbindung geht verloren!

ich kämpf mich mal weiter :) face-smile
wäre aber super wenn ich nicht noch 2 weitere Tage damit verbringen müsste!

Danke im vorraus

cypo

P.S.
sorry für Rechtschreibfehler, aber bin in eile :) face-smile

Content-Key: 1506

Url: https://administrator.de/contentid/1506

Ausgedruckt am: 24.10.2021 um 05:10 Uhr

Mitglied: Dieter-56
Dieter-56 10.07.2004 um 22:45:50 Uhr
Goto Top
hallo,

son ähnliches problem hatte ich auch schon mal mit nem wurm, norton hat immer gemeldet "virus gelöscht" und bei ok drücken hat sich ne neue datei gebildet.
hab dann neu gestartet und die temp-ordner über die eingabeaufforderung geleert, sowie den quarantäneordener von norton.
versuchs doch mal ähnlich, vielleicht hilfts.

gruss
dieter
Mitglied: cypo
cypo 11.07.2004 um 00:42:48 Uhr
Goto Top
danke für die Antwort,

Tempordner hab ich auch schon geleehrt, evtl hat das das problem gelöst!
Als Antiviren proggie benutz ich AntiVir (aus kostengründen)
der hatte einen Wurm gefunden und ihn (angeblich jedenfalls) erfolgreich gelöscht!

nachdem ich alle möglichen patches und "RemoveTools" getestet habe,
ne neue Firewall aufgespielt habe damit sich, besten falls, der Wurm nicht weiter
im Netz ausbreitet!
Bleibt bisher (seit 5 Std) die svchost.exe stabil :) face-smile *erfolg*

ABER:
Das problem mit der Netzwerkverbindung die immer wieder für 2-3 sec gekappt wird
bleibt weiterhin bestehen.
Und das ist nun mein Problem :( face-sad
Da der PC als Server fungiert und eigentlich 24/7 saugt, oder von ihm gesaugt wird,
brechen down - und uploads immer wieder ab :/
Das ist ärgerlich, da sobald er wieder genug quellen zum saugen gefunden hat gleich wieder
für 2-3 sec offline geht und sich dann wieder von vorne "anstellen" muss!

Auch komisch, das es auswirkungen auf alle PCs im Netzwerk hat.
Mitglied: Dieter-56
Dieter-56 11.07.2004 um 13:49:32 Uhr
Goto Top
hallo,

schön, dass ein teil deiner probleme beseitigt sind.
der rest hört sich aber fast so an, als ob da noch was rumfleucht, was da nich sein soll.
versuch doch mal mit mc affee (anti vir findet so manches nicht), wenn das auch nicht hilft sehe ich nur noch eine chance -

P L A T T M A C H E N und neu installieren.

viel spass dabei und teil das ergebnis mit
Mitglied: Dieter-56
Dieter-56 11.07.2004 um 13:50:32 Uhr
Goto Top
und auch mal die timeout-einstellungen überprüfen

dieter
Mitglied: 1895
1895 12.07.2004 um 08:56:13 Uhr
Goto Top
Aloa,

Wehn du ein Wurm schon drauf hates gibt es nur eins auf lange sicht : Platmachen und neumachen. DIe Removertools machen zwar den Wurm den garaus, aber lassem meist andere backdoors offen wodurch ein andere wurm hinneinkommt.

Das problem mit der anbindung Server - WLAN Router : ist nur dieser PC betroffen oder fallen die andern PCs auch aus ?

Als Internet Pprovider hast du auch einen Provider der keine zwankstrennung nach 24std hat ?

have a nice day

Kai
Mitglied: cypo
cypo 13.07.2004 um 15:06:10 Uhr
Goto Top
also,

danke für antworten,

da ich mich nun länger zeit nicht gemeldet habe könnt ich euch ja denken was ich gemacht habe :) face-smile
alles GEPLÄTTET!!!

kurze Antworten:
die anderen PCs fallen auch aus, das find ich das merkwürdige, allerding nur wenn der infizierte Rechner am Netz war!

Das mit dem 24 Std Zwangstrennung nehm ich schon an, allerdings nur alle 24 std und nicht alle 5 min.

bevor ich alles platt gemacht habe, wollte ich noch ein paar sachen ausprobieren:
AntiVir mal im Abgesicherten Modus suchen lassen (soll angeblich mehr finden) - war nix
Neues VirenProgramm - Kaspersky getestet aber:
da ich mit dem infizierten PC nicht ins netz wollte/kann hab ichs mit PC #2 gesaugt und auch gleich installiert - Fazit: "ein kompletter scan des PCs ist erforderlich" also wollte ich das machen, OH SCHRECK, sobald ich auf den Button gedrückt habe

-bluescreen-
Beginn des Speicherbildes...
Speicher wird auf Datenträger abgebildet: (zählt dann von 1 -100 hoch und rebootet)
-bluescreen-

dann das selbe wieder :( face-sad
Das wars für mich, beide PCs platt gemacht! PC#2 läuft wieder, wie man sieht, oder lesen kann :) face-smile
An #1 mach ich mich jetzt rann!
Aber kann mir jemand erklären was das mit dem bluescreen soll ?
hab geört Kaspersky soll super sein, hab da andere erfahrung gemacht :( face-sad

greetz & thx

cypo
Mitglied: cypo
cypo 14.07.2004 um 04:05:44 Uhr
Goto Top
geschafft :) face-smile

erstma das problem mit der svchost.exe ist wieder aufgetreten nach der Formatierung.

da du ja ne antwort wolltest, teil ich sie dir gerne mit :) face-smile
erstmal logisch: Microsoft Patch für Blaster Worm dann
hab ich zick tausende anti virenprogramme getestet, nix gefunden BIS:

Trend Micro "Sysclean"

hat was gefunden:) face-smile wohl gemerkt im abgesicheren modus :) face-smile=

Worm_SDBOT.CN

der hat ihn auch gleich weggehauen :) face-smile

damit sollte das Problem nun gelöst sein :) face-smile


danke & greetz

cypo
-close thread-
Mitglied: yogiboy
yogiboy 18.07.2004 um 12:41:56 Uhr
Goto Top
so mal nebenbei.
mit "tasklist -svc" sieht man die progies, die hinter svchost.exe laufen.
Vielleicht hilfts ja nächstes mal weiter.
Mitglied: MisterXYZ
MisterXYZ 12.08.2006 um 11:53:16 Uhr
Goto Top
Hi,
ich hab ein ähnliches Problem mit der svchost.exe

Eine der 4 Dateien verbraucht nach dem Start immer fast 100% der Leistung. Wenn ich dann ein Programm öffne tut sich lange nichts, die Datei hat immer noch volle Auslastung. Erst nach einer Weile wird das Prog dann geöffnet, und plötzlich verursacht die Datei keine Auslastung mehr. Auch alle weiteren Programmstarts laufen dann hervorragend.
Ich hab mehrfach Panda Antivirus drüberlaufen lassen, aber ohne Erfolg. Was mir nur immer auffällt ist, dass bevor diese svchost Datei die volle Auslastung verursacht, verursacht eine Scandatei des Virenscanners auch eine hohe Auslastung. Es ist so, als ob der Scanner versucht etwas zu scannen oder zu löschen, schafft es aber nicht. und nach etwa 1 min übernimmt die svchost die Systemauslastung.
Wenn ich diesen Prozess beende läuft alles wie geschmiert. Ich hab mir dann gedacht, dass vielleicht die svchost nur beschädigt sei, weil der Rechner ist mir vor einiger Zeit nicht mehr hochgelaufen und ich musste ihn dann mit der Keule (Stecker ziehen) ausschalten.
So hab ich mal alle svchost beendet, und bei der letzten Datei( war aber nicht die mit der hohen Auslastung) kam dann die Meldung, dass das System heruntergefahren werden muss, weil irgendetwas mit der Remotekontolle war. Das Fenster sah genauso aus wie beim Sasser.
Kann es ein Virus sein, der mein Antiviren prog lamlegt?
Könnt ihr mir helfen?

Mfg

P.S.: Auf einem anderen Computer laufen alle svchost absolut normal, obwohl ich regen Datenaustausch mit dem Problemcomputer hatte.
Mitglied: client
client 22.08.2006 um 23:14:08 Uhr
Goto Top
Hallo,

ich habe auch das Problem, dass svchost 100% Systemauslastung verursacht.
Mit dem "Sysinternals Process Explorer" habe ich nun festgestellt, dass der Dienst hinter der svchost die automatischen Updates von Windows XP sind. Als ich diese probeweise deaktivieren wollte, hat sich mein PC beim Öffnen des "Automatische Updates-Fensters" immer wieder aufgehängt. Ich musste zuerst den svchost Prozess beenden, um das Fenster öffnen und die Updates deaktivieren zu können.
Jetzt läuft alles wieder optimal, jedoch kann dies kein Dauerzustand sein, da ich mir ohne automatische Updates einen Wurm nach dem anderen einfangen werde.

Daher meine Frage: Was kann ich machen?

Ich bitte unterwürfigst um Hilfe
Mitglied: Mr-Compaq
Mr-Compaq 07.10.2006 um 00:19:47 Uhr
Goto Top
Muss euch leider mitteilen, das mir diese Problem bei einen 2k Rechner auch aufgefallen ist. Selbst nach 2 Tage suchen habe ich leider auch keine andere Lösung gefunden als den Dienst „Automatische Updates“ zu deaktivieren. Das einzigste was ich noch dazu beitragen kann ist die Aussage das die Datei „ntdll.dll“ etwas damit zu tun haben muss, zumindest in meinem Fall verursacht sie die CPU Auslastung durch den Prozess „svchost.exe“

Wer eine Lösung findet bitte melden.
Mitglied: Huhjukel
Huhjukel 11.04.2007 um 17:14:58 Uhr
Goto Top
Tja da ich eben das gleiche Problem habe (extrem nerv) hab ich mal ein bisschen gegoogelt und folgenden Beitrag in einem anderen Forum gefunden.

Schaut mal hier :

http://www.hwe-forum.de/index.php?PHPSESSID=2353d11a9bc63ea6efe6ff1af26 ...

Beitrag vom svchost killer / Antwort #23
Mitglied: Yoshi-GP
Yoshi-GP 11.05.2007 um 08:16:06 Uhr
Goto Top
Hallo Kollegen.

Das Problemm der 100% CPU-Last durch svchost.exe hatte ich schon mehrmals bei Einzelplatzrechnern. Vermehrt ist es aufgefallen, wenn MS Office 2003 installiert war.

Seit dem Patchday am Dienstag haben wir jedoch in einer SBS2003-Domäne und automatischem Update von Sicherheitsupdates per WSUS das Problem, daß am Mittwoch morgen FAST alle Rechner kurz nach dem Start eingefroren sind und auch Neustarts etc. ohne Erfolg blieben.

Auch hier war dann plötzlich eine 100% CPU-Last durch svchost.exe zu sehen. Kurz die Gruppenrichtlinien umgestellt und automatisches Update deaktiviert - und siehe da, die Maschinen laufen erstmal wieder.

Aber es ist keine Lösung.

Der Ansatz wie im Forumsbeitrag (Eintrag von Huhjukel) angegeben, welcher wie folgt lautet:

Anschließend den Inhalt des Ordners C:\WINDOWS\SoftwareDistribution\DataStore löschen, sowie C:\WINDOWS\SoftwareDistribution\Download und C:\WINDOWS\SoftwareDistribution\EventCache.

hat in der Vergangenheit nur sporadisch und kurzzeitig geholfen.

Auch der separat von MS anzufordernde Patch im Falle des svchost.exe-Problemes hat bisher bei keiner Maschine abhilfe gebracht.



Gibt es inzwischen Lösungsansätze? Ich kann schlecht die komplette Domäne für alle Ewigkeiten ohne Updates laufen lassen.
Mitglied: Acidnet
Acidnet 11.05.2007 um 13:42:18 Uhr
Goto Top
hallo zusammen

dies ist nur der erste schritt zur behebung des problems.

!!!!Wichtig!!!!!

zuerst aber den WindowsUpdate Dienst stoppen bevor die Files gelöscht werden.


1. Inhalt des Ordners C:\WINDOWS\SoftwareDistribution\DataStore löschen, sowie C:\WINDOWS\SoftwareDistribution\Download und C:\WINDOWS\SoftwareDistribution\EventCache.

Wenn diese gelöscht sind wieder starten.

2. install Patch 927891
http://support.microsoft.com/kb/927891/en-us

3. install Windows Update Agent V.3
http://patch-info.de/artikel/2007/05/01/351


Danach sollte es wieder funzen....


grüsse

Acidnet.
Mitglied: Acidnet
Acidnet 11.05.2007 um 13:45:37 Uhr
Goto Top
Ich wünsche ein schönes Weekend.


grüsse

Acidnet
Mitglied: Gromith
Gromith 14.05.2007 um 13:42:19 Uhr
Goto Top
Funktioniert bei mir bestens! Vielen Dank Acidnet
Mitglied: Acidnet
Acidnet 14.05.2007 um 13:55:00 Uhr
Goto Top
hallo Gromith

kein problem, immer gerne... ;-) face-wink

gruss

Acidnet
Mitglied: thundix
thundix 09.04.2008 um 17:33:43 Uhr
Goto Top
hallo zusammen

dies ist nur der erste schritt zur behebung
des problems.

!!!!Wichtig!!!!!

zuerst aber den WindowsUpdate Dienst stoppen
bevor die Files gelöscht werden.


1. Inhalt des Ordners
C:\WINDOWS\SoftwareDistribution\DataStore
löschen, sowie
C:\WINDOWS\SoftwareDistribution\Download und
C:\WINDOWS\SoftwareDistribution\EventCache.

Wenn diese gelöscht sind wieder
starten.

2. install Patch 927891
http://support.microsoft.com/kb/927891/en-us

3. install Windows Update Agent V.3
http://patch-info.de/artikel/2007/05/01/351


Danach sollte es wieder funzen....


grüsse

Acidnet.

Hallo, ich habe das gleiche Problem.
Ich habe den Lösungsweg ausgeführt und bin mir dermaßen sicher, das mein Rechner sauber ist.
Jedoch kann man dies ja nie zu 100% wissen.

HijackThis Log - sauber
Bitdefender Online Scan - sauber
Avast Antivir Scan - sauber
A-Squared Anti Spyware - sauber
AVG Antispyware - sauber

Nun zu meinem Problem. Wenn ich normal am PC arbeite, dann ist alles ganz normal.
Jedoch wenn ich ein Windows Update ausführen will geht es los und svchost geht auf 80-100%.
Erst dachte ich eben es geht mit dem von dir beschriebenen Lösungsweg, doch das tut es anscheinend immer noch nicht. Kurz (ca. 1-2 Minuten) nachdem ich auf benutzerdefinierte Update Suche geklickt habe ging es wieder los.

Ich bin echt ratlos und hoffe auf eure Hilfe.

Windows XP SP 2
Office 2003
Heiß diskutierte Beiträge
question
Gefahren durch Nutzung von EOL Smartphones (end of life support)nachgefragtVor 1 TagFrageSicherheit21 Kommentare

Hallo Administratoren, weil Freitag ist erlaube ich mir die Frage (brainstorming): Welche Gefahren hinsichtlich IT-Sicherheit und Datenschutz seht ihr bei der Nutzung von (eol) Smartphones, ...

question
Netzwerkplan u. Kabelbelegung zeichnen? gelöst McLionVor 1 TagFrageNetzwerke12 Kommentare

Hallo zusammen, ich suche irgendein Tool (am besten Open Source) um Netzwerkpläne zu zeichnen. Diese gibt es zwar wie Sand am Meer, aber mir geht's ...

question
Nebenstellenkreis von 2stellig auf 3stellig - was geschieht mit den bisherigen Rufnummerndeparture69Vor 1 TagFrageTK-Netze & Geräte13 Kommentare

Hallo. Bei uns besteht für 2022 die Anforderung, deutlich mehr Bürotelefone in Einsatz zu bringen. Die Anzahl der Nebenstellen ist vertragsseitig derzeit aber auf 100 ...

question
ASUS H110M-A - TPM-Funktion im BIOS? gelöst SarekHLVor 20 StundenFrageCPU, RAM, Mainboards15 Kommentare

Hallo zusammen, weiß jemand sicher, ob das ASUS H110M-A/M.2 eine TPM-Funktion/Emulation im BIOS hat? Hier ist das Board ganz unten als Win11-kompatibel aufgeführt, aber während ...

question
Sfp 100Mbit Switch gesuchtjonasgrafeVor 20 StundenFrageSwitche und Hubs16 Kommentare

Hi zusammen, Bei uns der Firma ist heute Nacht ein Einsteckmodul (Lwl SC) von einem Siemens Scalance Switch gestorben. Über diese Module besteht eine Verbindung ...

question
HP Printerport schneller als TCPIP PrinterportAnulu1Vor 1 TagFrageDrucker und Scanner8 Kommentare

Hallo, ich habe einen Drucker über einen Printserver mit dem HP Printerprort installiert. Der Drucker ist über einen 100 mbit Lan Anschluß verbunden. Wenn ich ...

question
PfSense nach Änderung von "Block private networks and loopback addresses" nicht mehr erreichbarvafk18Vor 1 TagFrageRouter & Routing5 Kommentare

Ich habe an meiner pfSense am entfernten Standort in den WAN-Einstellungen den Haken bei "Block private networks and loopback addresses" gelöscht. Nach dem Bestätigen war ...

question
Von Outlook gesendete Nachricht kann vom Empfänger nicht angezeigt werdenfrosch2Vor 1 TagFrageOutlook & Mail11 Kommentare

Hallo, ich brauche eure Hilfe zur Selbsthilfe. Im moment sehe ich den Wald vor läuter Bäumen nicht. Problem: Ein Mitarbeiter von uns sendet mails mit ...