[Vagabond]

Immer wenn wenn ich im Internet bin, habe ich eine Systemauslastung von 100%.
Der Prozess svchost.exe verbraucht 99%. Aber nurwenn ich im Net bin.
Wenn ich I-Net trenne habe ich immernoch 100%.
Die Hijack Auswertung brachte auch nichts.
F-Secure findet nichts.

Ich will CS:S Im Net spielen aber des geht dann nicht!
Kann das was mit der McAfee FireWall zu tun haben?
Plz Help!

[BlueWeasel]

Hallo,

tja, du hast zwar eine starke CPU & genug RAM aber wenn zuviele Prozesse im Hintergrund laufen kann das System bzw. die CPU sehr leicht in die Knie gehen!

Vorschläge:

- Hast du ausser HiJackThis auch noch AdAware & Spybot - Search & Destroy durchlaufen lassen -> Malware & Co können das System auch sehr bremsen!

- Datenträgerbereinigung & Defragmentieren könnte auch nützlich sein!

Antworten:

Zitat

Kann das was mit der McAfee FireWall zu tun haben?

Kann sein oder auch nicht -> probeweise mal deaktivieren oder gar deinstallieren!

Aber auch der Virenscanner kann das System deutlich ausbremsen! -> probeweise auch deaktivieren oder gar deinstallieren!

Fragen an dich:

1) Seit wann hast du das Problem?
2) Hast du etwas installiert (Software, Patches & Updates)?
3) Ist das SP2 drauf (kann davon abhängen)?
4) Wie alt ist das Windows seit der letzten Installation?
5) Hast du Änderungen im System vorgenommen (Registry, Tweaking Tools, etc.)

Ciao Blue

Dieser Beitrag wurde von BlueWeasel bearbeitet: 06. Februar 2005 - 08:12

[Vagabond]

Ich hatte diesen Wurm hier drauf: Backdoor.Win32.SdBot.jg
Der ist laut F-Secure 2005 neuste Version gelöscht.
Ich glaube seitdem kommt das.

Wichtige Frage am Rande: Wie heißt der Wurm der das System automatisch runterfahren lässt?
Link zum Entfernen bitte
blaster oder so....

SP2 nicht drauf.

Dieser Beitrag wurde von Vagabond bearbeitet: 06. Februar 2005 - 11:09

[Strider]

Zitat

Ich hatte diesen Wurm hier drauf: Backdoor.Win32.SdBot.jg
Der ist laut F-Secure 2005 neuste Version gelöscht.

Anscheinend hast du das hier noch nicht gelesen.
So wie es aussieht wurde doch nicht alles gelöscht.

Wie du siehst benutzt du eine "Firewall" und du hast dir was eingefangen. Trotzdem setzt du diese "Sicherheitssoftware" weiterhin ein und vertraust ihr noch... irgendwie stimmt da was nicht. Sie hat doch ihr Ziel, ihre Daseinsberechtigung verfehlt, ist also unnötig. Hast du denn schon herausgefunden, wie der Wurm in dein System eindringen konnte? Denn wenn du das nicht weisst, dann wirst du den selben Fehler bestimmt nochmals machen.

Benutze mal die Suchefunktion des Boards hier und suche nach svchost, du wirst erstaunt sein, wieviele Leute dieses Problem schon hatten.

Was dein Link angeht: suche mit google nach "Blaster remover" .
Hättest du alle Windows Updates, inklusive den Service Pack 2, würde schon solch ein Remover auf deinem System installiert sein und die Lücke, die Blaster und co ausnutzen, wäre auch schon geschlossen. Also immer schön dein Windows updaten, und zwar bevor dein System infiziert wird.. jetzt hat es fast gar keinen Sinn mehr.

Und beachte bitte Blueweasels Beitrag, er hat sich bemüht, alles schön strukturiert zu fragen, du solltest wenigstens drauf eingehen, und zwar auf all seine Fragen.

PS: wenn man Online spielt, sollte die "firewall" deaktiviert sein... vor was soll dich die "Firewall" denn während dem Spielen schützen?
Und in deiner Signatur steht, dass deine Graphikkarte overglocked ist... ändere das mal in overclocked

[Lofote]

Zitat

Wie du siehst benutzt du eine "Firewall" und du hast dir was eingefangen. Trotzdem setzt du diese "Sicherheitssoftware" weiterhin ein und vertraust ihr noch... irgendwie stimmt da was nicht. Sie hat doch ihr Ziel, ihre Daseinsberechtigung verfehlt, ist also unnötig.

Wir haben die Polizei, die Verbechen u.a. verhindern soll. Aber trotzdem passieren z.T. sehr schlimme Verbrechen. Ist sie deshalb unnötig?

Zitat

PS: wenn man Online spielt, sollte die "firewall" deaktiviert sein... vor was soll dich die "Firewall" denn während dem Spielen schützen?

Hä!? Wie wäre es mit "vor Angriffen auf andere geöffnete Ports"!? Eine "Firewall" sollte *nie* deaktiviert werden.

[flo]

Zitat

Wir haben die Polizei, die Verbechen u.a. verhindern soll. Aber trotzdem passieren z.T. sehr schlimme Verbrechen. Ist sie deshalb unnötig?

Du kannst nicht Äpfel mit Birnen Vergleichen, die PFW, erfüllt nie ihren Zweck!

Zitat

Hä!? Wie wäre es mit "vor Angriffen auf andere geöffnete Ports"!? Eine "Firewall" sollte *nie* deaktiviert werden.

Ein Port ist nur dann gefärdet, wenn hinter ihm ein Dienst auf anweisungen wartet, wenn z.B port 4000 offen ist, aber kein programm darauf wartet, über port 4000 was zu bekommen, dann ist der Port offene Port nicht gefählich!

Dieser Beitrag wurde von Flo01 bearbeitet: 06. Februar 2005 - 12:02

[Strider]

Zitat

Wie wäre es mit "vor Angriffen auf andere geöffnete Ports"!?

Wie wäre es, wenn du die unnötigen Ports einfach schliesst/deaktivierst, anstatt sie mit einer Software, die potentiell auch angegriffen werden kann, verschleierst?

Ahja was für ein schöner Vergleich. Es ist nunmal so, dass eine Deskop Firewall _prinzipiell_ nicht zuverlässig schützen kann. Eine Firewall gehört nun mal nicht auf dem System, das es schützen muss, der Schutz muss _vor_ dem eigentlichen System stattfinden. Die Polizei wartet ja auch nicht in deinem Schlafzimmer, bis irgendjemand dich angreift, sondern verhindert im Vorfeld, dass sowas überhaupt geschieht. Das ist die einzig vernünftige Vorgehensweise, alles andere ist utopisch.
Wenn man schon was vergleicht, dann richtig. Dass bei der Polizei auch manchmal was schiefgeht, ok, aber das ist was anderes, da Kriminatität ja doch ein wenig komplexer ist als das Firewall-Problem.
Klar, ich hätte nichts dagegen wenn alles so funktionnieren würde, wie die Hersteller es auf ihrer Verpackung verkaufen wollen, aber so ist das nunmal nicht.

Also ich finde es witzig: hier beschreibt ein User, dass sein System infiziert wurde _obwohl_ er eine Software-Firewall benutzt (auf dessen Verpackung ein 100%iger Schutz versprochen und als notwendig angepriesen wird) , und trotzdem schaffen es noch Leute, solche Software zu verteidigen... soll das einer verstehen...

so und bleibt nun bitte beim eigentlichen Thema, wir wissen doch alle, wo solche Diskussionen hinführen. Beide Meinungen über "Firewalls" wurden hier geschildert, die einen sind dafür, die andere dagegen, jeder hat seine Argumente, Punkt.

[kron0s]

hallo leute !
auch ich habe eine systemauslastung von 99% bei einer svhost.exe :/
ich hab bereits diverse scans gemacht, was allerdings zu keinen ergebnissen geführt hat (panda antivir). hab mit HijackThis mal ne log erstellt. viellleicht könnt mir auch mit helfen ?! =)

Logfile of HijackThis v1.99.0
Scan saved at 14:41:27, on 07.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Symphony\maestro.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Programme\Symphony\sw_serv.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Miranda IM\miranda32.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
C:\Dokumente und Einstellungen\kro\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\USB SBAudigy2 NX\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\USB SBAudigy2 NX\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Gigaset Netzwerk Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O4 - Global Startup: T-Sinus 931 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5AF12CE-56D4-47C4-AE90-8766349E14DF}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service - Unknown - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service - Unknown - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Symphony Switcher Service - Unknown - C:\Programme\Symphony\sw_serv.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



mfg kron0s

Dieser Beitrag wurde von kron0s bearbeitet: 07. Februar 2005 - 15:19

[Neo1]

Hi Vagabond

Ich hatte das selbe Poblem vor 3 Wochen, bei mir war es ein Netzwerkwurm Namens Korgo.Q. Da du ja den SP2 nicht nutzt stehen dem Wurm alle Türen offen.
Hier eine Link http://www.f-secure....k/korgo_q.shtml da kannst du mit einem kleinen Programm den Wurm suchen und mit einem Sicherheitspatch die Lücke schliessen. Wenn du aber SP1 drauf hast würde ich das 1.7
Update von Winfuture drauf machen da ist der Sicherheitspatch schon dabei.

Seiddem hab ich meine Ruhe
Sag mal Bescheid ob es das war.

MfG Ralf

[kron0s]

kann mir keiner von euch helfen?

[Lofote]

Zitat

Wie wäre es, wenn du die unnötigen Ports einfach schliesst/deaktivierst, anstatt sie mit einer Software, die potentiell auch angegriffen werden kann, verschleierst?

Mensch mensch, ihr vergesst doch immer wieder eines: Ihr, wie auch ich, sind interessierte Computerfreaks, die sich mit der Materie auskennt. Wir wissen was Ports sind, wir wissen um die Gefahr von offenen Ports, wir wissen wie wir den dazugehörigen Prozess dafür finden, etc.

Nun nehme 95% der Internetuser und schau, ob dieses Wissen dort auch vorhanden ist. Nein, ist es nicht. Die installiert sich weiss-Gott-was und hat zig offene Ports, ohne auch nur im entferntesten zu wissen, was überhaupt TCP/IP ist.

Eine PFW ist kein Idealzustand aber besser als gar nichts. Fertig, aus. Sie hat in zigtausend Fällen schon den Blaster-Virus abgefangen. Das ist Fakt. Und wenn du ein bisschen mathematisches oder logisches Verständnis hast, wirst du mir zustimmen, dass der Satz "die PFW, erfüllt nie ihren Zweck!" damit schon wiederlegt ist - denn als Falsifizierung einer Aussage reicht es aus, ein Gegenbeispiel zu bringen. Zigtausend sind deutlich mehr als eins.

Seid nicht immer so arrogant und glaubt, dass jeder Mensch sich mit TCP/IP oder anderen Computerspezifischen Dingen auskennt oder auskennen müsste. Ich weiss auch nicht, wie genau technisch eine Kupplung im Auto funktioniert, ich verwende das Auto trotzdem.

[Strider]

Tja und genau diesen Zweck erfüllt dieser Forum ja, die Leute ein wenig aufzuklären.. also ist es nicht falsch wenn wir hier, wie du sagst "arrogant" sind. Denn das hat nichts mit Arroganz zu tun, das was "wir" behaupten ist eben auch Fakt, Punkt.

Was ich auf jeden Fall vermeiden will ist, dass Leute denken "ach ich hab ne Firewall, mir kann nichts geschehen". Denn diese Scheinsicherheit ist viel schlimmer und gefährlicher. Wenn du sagst dass 95% der User dieses Wissen nicht haben, sage ich dir, dass 99% der Firewall-Benutzer glauben, rundum geschützt zu sein. Denn genau das versprechen doch die Sicherheitssoftware-hersteller. Lies doch mal deren Verpackungen, das ist teilweise echte Propaganda.
Man nehme doch Blaster... dass eine DTF solche Attacken blocken kann, ok, aber ein einfaches "Windows Update" wäre doch auch schon gut genug gewesen (ist btw standardmässig aktiviert)... der Einsatz von DTFs ist eben nicht notwendig... PC-Anfänger glauben dies vielleicht, das ist aber noch lange kein Grund, es zu akzeptieren.

Ich verstehe auch nicht viel von Mechanik, aber wenn mir ein (Hobby)Mechaniker was erklärt, glaube ich ihm und verfolge seine Ratschläge und sage ihm nicht, dass es doch irrelevant ist da es mich nichts angeht und mein Auto doch auch so noch immer funktionniert hat... Ignoranz sollte doch nicht gelobt werden und ist auch keine gute Entschuldigung.

@kron0s: dein Log scheint sauber zu sein.
Hattest du denn schon Probleme mit deinem System sprich musstest du per Antivirensoftware oder Hijackthis Malware entfernen?
Seit wann besteht das Problem denn?
Hast du auch schon nen Online-scan versucht, wie zB dieser hier ?

Das svchost-Problem ist leider relativ komplex. Es kann viele Ursachen haben und meistens kann man keine 100%ige Lösung finden.
Versuche auch mal, Steganos Internet Anonym zu deaktivieren bzw zu deinstallieren.

[Noillusion]

Hi Zusammen,

1. zu dem Hauptprobleme 100% Auslastung, ich habe selbst die Erfahrung gemacht, daß eine Virenscanner mit unter nicht alle infekzieretn Dateien oder Überreste des Wurms findet.
Mein Tipp: ladet euch den "Stinger" bei mcafee herunter, vorm starten Antivirensoftware deaktivieren, kann sonst Konflikte geben und die wollen wir nicht noch zusätzlich haben, linK: http://vil.nai.com/vil/stinger/
Lasst die gesamte C:/ durchlaufen, nicht nur "windows"!!!!

Eine Desktopfirewall kann man auf einfache weise auf ihre Sicherheit testen, z.B. auf der seite von symantec, dort kann man einen sicherheitscheck kostenfrei durchführen lassen, nur wer hinter einem router hängt , hat da Pech.

Mein Tipp an Gamer , legt euch nen 2. PC zu nur zum zocken, es sei denn ihr könnt auf euren PC mal n paar Tage verzichten, denn man kann echt schlecht CS zocken, mit aktivierter firewall und evtl. auch noch Antiviruss. weil das die wertvollen millisekunden ausbremst, das frustet eher.