[Stefan87]

Hallo werte Forumsbenutzer,

habe seit langem wieder einmal ein Problem mit meinem PC!

Letzte Woche, PC läuft irrsinnig langsam - einen Blick geworfen auf den Task Manager > svchost.exe zeigt eine 99% Auslastung der CPU... AntiVir laufen lassen, hat nichts gefunden!

Habe dann keinen anderen Weg gefunden als PC neu aufzusetzen - war auch so wieder mal sicher nicht schlecht!

Jetzt, nachdem ich wieder einige Programme installiert habe, wieder das gleiche Problem mit svchost.exe, wieder eine extreme CPU-Auslastung, nur noch nicht so lang wie vor dem Aufsetzen, da hat's ja nicht mehr aufgehört, jetzt geht es nach 1-2 Minuten wieder runter auf Normal-Werte!

Welche Programme habe ich jetzt installiert, welche ich vorher nicht hatte?
xp Anti-Spy, MS-Office 2007 Enterprise Edition, Windows Live (hatte ich vorher zwar auch schon, jetzt wieder, kam jetzt nach Neuinstallation nicht ins MSN, deswegen für's erste wieder gelöscht) und einen neuen Router (D-Link DIR-100)!

Unter Anwendungen "msconfig" - habe ich einige Programme, welche beim Systemstart ansonsten starten würden, bereits beendet: NVIDIA Network Access Manager, Messenger, Office Groove Monitor, Office OneNote, DivX-Update!

Hier der HiJackThis-Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:13:23, on 08.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\Programme\Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
E:\Programme\HiJackThis\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Catalyst System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B755937B-2A1C-4ED5-A877-7272A6199E71}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

--
End of file - 6171 bytes

Also was meint ihr dazu, woran könnte das liegen? Ist wirklich mühsam, mit einem langsamen Gerät zu arbeiten

danke und lg stefan

[Stefan87]

Es laufen mehrere svchost.exe - der, der Stress macht (ich glaube zumindest das ist der, hat dieses Mal nur kurz eine hohe CPU-Auslastung gehabt):
system32/svchost.exe (netsvcs)

und eine lange Liste an "Services",...
lg stefan

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von Stefan87 bearbeitet: 09. September 2010 - 13:15

[joe13]

Hoppla!
netsvcs ist kein Teil des normalen XP. Bei meinem XP jedenfalls gibt's diese Datei nicht.

Schau Dir mal http://www.file.net/...etsvcs.exe.html an ...


Joe

Dieser Beitrag wurde von joe13 bearbeitet: 09. September 2010 - 16:30

[Stefan87]

Zitat (joe13: 09.09.2010, 17:28)

Hoppla!
netsvcs ist kein Teil des normalen XP. Bei meinem XP jedenfalls gibt's diese Datei nicht.

Aber der betreffende svchost.exe führt relativ viele Dienste aus, welche "wichtig" klingen...

Zitat (MagicAndre1981: 09.09.2010, 18:13)

ich tippe auf den Update Dienst. Stoppe ihn mal, wenn du wieder das Problem hast.

Wo würde ich den dann stoppen? - Du meinst einfach "Automatische Updates" stoppen?

lg stefan

[eichenwurm]

Hallo,

meines Wissens ist dies die Datei für aut. Updates "wuauclt.exe" meist in C:WinXP od. Windows\System32
diese wird meist beim Hochfahren des Systems gestartet.
Ich sehe das, weil ich meinen Start meist überwache.

mfG

[joe13]

Zitat (Stefan87: 09.09.2010, 18:52)

Aber der betreffende svchost.exe führt relativ viele Dienste aus, welche "wichtig" klingen...

VoM Dienst svchost, der verschiedene Dienste startet, war keine Rede, davon laß die Finger.

Die Datei netsvcs.exe ist wie oben beschrieben NICHT Bestandteil von XP Home/Pro. Diese ist verdächtig. Hast Du den angegebenen Link gelesen?
==> Virenverdacht.
Klär erstmal das, bevor Du über Update-Verfahren grübelst.

Joe

Dieser Beitrag wurde von joe13 bearbeitet: 10. September 2010 - 09:05

[Django2]

Bei ihm erscheint keine netsvcs.exe sondern svchost und der ist Bestandteil des OS und startet bei XP netsvcs so:
svchost.exe -k netsvcs
Der von dir beschrieben Virus erscheint als .exe im Taskmanager und das ist bei ihm nicht der Fall.

[Stefan87]

Genau und das hat mich etwas verwirrt, war keine eigene .exe ...
(Aber ich hätt's nie in der Fachsprache ausdrücken können, danke )

[joe13]

Zitat (Django2: 10.09.2010, 10:20)

Bei ihm erscheint keine netsvcs.exe sondern svchost und der ist Bestandteil des OS

Ist mir bekannt.

Zitat

und startet bei XP netsvcs so: svchost.exe -k netsvcs

Also auf meinem XP-Rechner gibt's auch keine andere Komponente dieses Namens: Suche nach "netsvcs" im Windows-Verzeichnis liefert weder exe noch Service, Treiber oder dll - einfach garnix.
Der zitierte Aufrufparameter muß ja schließlich zu irgendeinem Programmteil passen. Ich würd's mal suchen & umbenennen, ob das das Problem löst.
Stefan beschreibt das Teil schließlich als "der, der Stress macht (ich glaube zumindest das ist der, hat dieses Mal nur kurz eine hohe CPU-Auslastung gehabt)"...

Nachtrag: ich würd das Teil mal zur Überprüfung an virustotal & an jotti schicken.
Der von MagicAndre1981 vermutete Update Dienst wird wohl kaum von einem Programm aufgerufen, das nicht Teil von Windows ist


Joe

Dieser Beitrag wurde von joe13 bearbeitet: 10. September 2010 - 15:06

[DK2000]

Das netsvcs ist keine Datei, sondern ein Registryschlüssel und stellt eine Gruppe von Diensten dar, welche über svchost.exe -k netsvcs gestartet werden sollen (s. Screenshot weiter oben).

Unter Windows 7 sähe das so aus (habe da gerade kein XP zur Hand):

CODE

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost

Name: netsvcs
Type: REG_MULTI_SZ
Data:

AeLookupSvc
CertPropSvc
SCPolicySvc
lanmanserver
gpsvc
IKEEXT
AudioSrv
FastUserSwitchingCompatibility
Ias
Irmon
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
SENS
Sharedaccess
SRService
Tapisrv
Wmi
WmdmPmSp
TermService
wuauserv
BITS
ShellHWDetection
LogonHours
PCAudit
helpsvc
uploadmgr
iphlpsvc
seclogon
AppInfo
msiscsi
MMCSS
winmgmt
SessionEnv
browser
EapHost
schedule
hkmsvc
wercplsupport
ProfSvc
Themes
BDESVC
AppMgmt

Unter Windows XP gibt es ebenfalls einen solchen Zweig. Jeder Eintrag ( AeLookupSvc, CertPropSvc, SCPolicySvc usw) repräsentiert ebenfalls nur einen Schlüssel in der Registry, in welchem dann die Infos ethalten sind, wie der entsprechende Dienst gestartet werden soll.

Wenn also svchost.exe -k netsvcs zuviel Last verursacht, dann ist es i.d.R. nicht die svchost.exe ansich, sondern eine Dienst in der Gruppe netsvcs. Und diesen müsste man ermitteln.

Dieser Beitrag wurde von DK2000 bearbeitet: 10. September 2010 - 15:45

[joe13]

Danke, DK200 - der Zusammenhang ist mir neu.

[Tiger_Icecold]

Es könnte sein, dass der Windows Update Dienst spinnt -> Workaround:

Win+R drücken und services.msc aufrufen.

Dienst Automatische Updates beenden.

Im Ordner C:\WINDOWS\SoftwareDistribution folgende Ordnerinhalte leeren (nicht die Ordner löschen!!!): DataStore, Download, EventCache

Dienst Automatische Updates wider starten.

Windows Updates Durchfühen!

Dieser Beitrag wurde von Tiger_Icecold bearbeitet: 11. September 2010 - 11:47