svchost belegt cpu zu 100%

  • Hallo an alle!

    Seit zwei Tagen fighte ich mit meinem Windows2000 herum und komme auf keinen grünen Zweig!

    Angefangen hat das Ganze, als ich einmal zufällig im Task-Manager bemerkt habe, daß die CPU-"Benutzung" periodisch auf 100% hochschnellt (über 90% davon der Leerlaufprozess), obwohl ich eigentlich nix gemacht habe.
    Komisch war das Ganze schon, jedoch führt ich das Ganze auf meinen lieben ver******** Norton-Virusscanner zurück und war der Meinung, daß der da hackelt und nach updates sucht,... nach näherer Betrachtung (abschalten des Modems, deaktivierung von Norton) änderte sich allerdings nix!

    Ein paar Tage später ging plötzlich überhaupt nix mehr:
    -cpu auslastung dauerhaft auf 100%
    -alle programme die gestartet habe waren entweder ur-langsam oder stürtzten ab (was komisch ist netscape navigator oder explorer nicht: Internet funktionierte nach wie vor)
    -manche verknüpfungen reagierten nicht oder erst beim zweiten Mal anklicken

    Ich habe dann festgestellt, daß die cpu-auslastung auf eine anwendung namens svchost zurückzuführen ist, die ungefähr acht mal gestartet wurde und sämtliche resourcen in anspruch nahm. Beenden nicht möglich weil kein Zugriff!!!?!!???
    Im Internet fand ich dann einige Beiträge, die über dieses Problem berichteten und die konsequenzen daraus waren folgende:

    -mein system nach viren, würmer, spyware durchsucht (nix gefunden)
    nicht nur mit norton, sondern auch mit anderen online virensuchprogrammen (auf die Vermutung hin das es sich um diesen Blaster-Wurm handelt)
    -deinstallation von norton: wärend des vorgangs abgestürzt (ganz schlecht) und damit nur sequentiell gelöscht
    -installierte windows neu drüber (nix passiert)
    -installierte alle service packs und security-patches die ich fand (kurzfristig besser aber zwei h später dasselbe wieder)
    -alle usb-geräte deinstalliert und usb-schnittstellen deaktiviert (nix)


    Bin schon kurz davor zu,... ..., format c:,...
    will ich aber eigentlich nicht!!

    Hat schon wer ein ähnliches Problem gehabt?

    (Forumsuche habe ich auch nix gefunden, das mir weitergeholfen hätte!?)

    Grüße anday

    Amicus certus in re incerta cernitur

  • sers!

    ich hatte das gleich prob. schau mal genau, die datei die 100% braucht müsste SCVhost heißen.

    Als allererstes mußt mal schauen das du das Service Pack 4 als datei downloadest. Einfach im GOOGLE suchen.
    (die Windows Update seite funkt nicht mit der Datei auf dem Sys)

    Dann trenn dich physikalisch vom Internet und starte im abgesicherten Modus (ohne Netzwerk).
    Lösch jetzt die einträge

    HotKey_Local_Maschine\Software\Microsoft\Windows\CurrentVersion\ RunServices\
    Config Loader = scvhost.exe

    HotKey_Local_Maschine\Software\Microsoft\Windows\CurrentVersion\Run\
    Config Loader = scvhost.exe

    Du mußt in den abgesicherten (ohne Netzwerk) damit SCVhost nicht startet (sonst schließt sich das REGEDIT Fenster dauernt von selbst).

    Jetzt starte wieder normal das Windows (Modem noch immer abgeschalten/nicht verbunden) und installier das Service-Pack 4.

    Jetzt sollt alles wieder so laufen wie es soll.

    Und immer brav Windows updaten. Is zwar kein 100% schutz aber ich hätte mir das Theater erspart.

    mfg,
    Jumper

  • aaaahhhhh!!! gewußt wie, oder wie es so schön heißt: man hätte sich sooooviel Zeit sparen können!

    hat super funktioniert,... und so einfach (wenn mans weiß)!!!

    würd mich nur interessieren von was das kommt,.. wurm oder??

    auf alle Fälle Danke:thumb:

    tschü anday

    Amicus certus in re incerta cernitur

  • aja, vergessen gehabt:

    unter c:\winnt\system32

    liegt die datei noch drin... kann ma jetzt löschen.

    Aber aufpassen:

    scvhost.exe löschen
    ABER NICHT svchost.exe (Windows System Datei)

    mfg,
    Jumper


  • Ja danke! Ich hab mir schon fast gedacht, daß man das auch machen muß!

    ach cv .... vc ... :rolleyes:man hätte es schon früher merken können!

    grüße anday

    Amicus certus in re incerta cernitur

  • Trotz NortonAntiVirus & ZoneAlarm hatte ich den lästigen Schädling auch auf meinem PC (WinXP)
    Durch Suchen der Symptome: plötzliche Beendung von RPC und dem tollen Countdown bis zum Neustart etc. bin ich dann draufgekommen.

    Bei mir wurde in der Zwischenzeit NAV & ZoneAlarm ausgehebelt (wurden nicht mehr automatisch gestartet und ließen sich nicht mehr manuell aufrufen).
    Genauso ließ sich regedit nicht mehr ausführen aber gottseidank ließen sich die Einträge in der registry mit einem anderern Registrierungseditor rauslöschen.
    Ich habe dann im DOS mit F-Prot meine c-Partition gescannt (natürlich mit den neuesten Definitionen von der Homepage) aber gefunden wurde nix.

    Ich kann euch nur empfehlen: verwendet den Scanner Antivirenkit von GData -> der hat kein Problem gehabt den Virus zu finden und hat sogar noch eine andere (alte) Virus-Datei gefunden, die NAV ebenfalls schon vor der Infizierung mit dem neuen Ungeziefer, nicht entdeckt hat.

    Was ich aus der Sache gelernt habe: Brennt euch einfach das Knoppix-Linux von http://gd.tuwien.ac.at/linux/knoppix/ auf CD und ihr habt im Notfall ein OS das ihr einfach von der CD starten könnt.
    Was mich dann echt umgehauen hat, war dass ich sofort nach dem (sehr sehr kurzen) Start vom Linux ohne irgendwelche Einstellungen vorzunehmen auf's Internet zugreifen konnte.

    Ji Wenzi überlegte dreimal, bevor er handelte. Konfuzius hörte davon und sagte: "Zweimal - das reicht schon aus"

  • Zitat von and_Y


    Ich kann euch nur empfehlen: verwendet den Scanner Antivirenkit von GData -> der hat kein Problem gehabt den Virus zu finden und hat sogar noch eine andere (alte) Virus-Datei gefunden, die NAV ebenfalls schon vor der Infizierung mit dem neuen Ungeziefer, nicht entdeckt hat.


    und nicht vergessen: patchen, patchen und nochmals patchen & firewall installieren.
    denn ein av-programm allein ist nur symptombekämpfung ;)

  • Mein Windows ist wegen dem Wurm insofern ramponiert, als dass sich die Einträge der Systemsteuerung wie Software, Maus, System, etc nicht mehr aufrufen lassen, da die entsprechenden exe-Dateien gelöscht wurden.

    Bei regedit hab ich's grad noch zusammengebracht, dass ich von der XP-CD das File regedit.ex_ ins system32 Verzeichnis Kopier und .exe nenn.
    Weiß jemand wie die anderen entsprechenden Files heißen?

    Ji Wenzi überlegte dreimal, bevor er handelte. Konfuzius hörte davon und sagte: "Zweimal - das reicht schon aus"

  • Hatte ne zeit lang das selbe Problem. Keine Ahnung wie ich svchost weg gekriegt habe aber ich glaub das hatte was mit Ezula und konsorten zu tun.!
    also nachdem ich mir Adaware (lavasoft) runtergeladen hab gabs eigentlich keine Probleme mehr. Ich kan das proggie echt empfehlen, das findet absolut jeden Scheiß der nicht als Virus klassifiziert ist aber doch mist baut.
    Hab nämlich mit kazoom nen griff in !"&§" gemacht und das hat relativ viel blödsinn installiert. War echt interessant über Ezula zu lesen. Die Idee is sau genial als marketing - strategie und echt umstritten. Zwar ne belästigung für den end-user aber ne Goldgrube für die Publisher.

    Also ich hab eigentlich gedacht dass svchost ein Protokoll is dass von windows für verschiedene netzwerk und system programme verwendet wird (deshalb kann man es auch öfter drauf haben) und in diesem Fall halt das Programm svchost irgendwie überlastet hat. na egal man lernt immer dazu!

    mfg

    Maggot

    Lumbergh: "Mm, yeah. You see, we're putting the cover sheets on all T.P.S. reports now before they go out. Did you see the memo abouth this?

  • Zitat von Maggot


    Also ich hab eigentlich gedacht dass svchost ein Protokoll is dass von windows für verschiedene netzwerk und system programme verwendet wird (deshalb kann man es auch öfter drauf haben) und in diesem Fall halt das Programm svchost irgendwie überlastet hat. na egal man lernt immer dazu!

    svchost ist ein prozess, in dessen adressraum verschiedene services laufen können. svchost.exe läuft normalerweise auch in mehreren instanzen nebeneinander. die services selbst lassen sich am besten unter verwaltung/dienste starten und stoppen. manche haben auch eigene prozesse wie zb spoolsrv.exe

    in diesem fall hat der prozess aber nicht svchost.exe geheißen sondern scvhost.exe, und war ein schädling. ein kleiner aber feiner unterschied, der so gewählt ist, dass man den bösen prozess im task-manager normalerweise übersieht.

    lg michi

  • hallo, habe das selbe problem mit svhost
    ich habe versucht das problem zu lösen wie es George Jumper beschrieben hat, doch leider finde ich in meiner regedit den parameter Config Loader = scvhost.exe nicht. ich komm zwar in den ordner RunServices rein aber dort steht das nicht :(
    ich habe das service pack 4 drauf und mit antivirkit alle viren bereinigt und die scvhost.exe gelöscht. hab dennoch das gleiche problem mit der 100%igen cpu auslastung. was kann ich denn jetzt nun tun?

  • generell arbeiten einige dieser neuen varianten von viren/würmern sehr ähnlich. drauf aufmerksam wird man, so wie in diesem fall, meist durch einen prozess der den pc zumüllt (bei mir wars svcsys32.exe) und sich meist durch gut gewählte namen (scvhost.exe) tarnt. in vielen fällen versucht der prozess irgendwelche daten ins inet zu senden - modem abstecken hilft da oft wunder.
    was mittlereweile auch schon standard ist: der wurm beendet alle möglichen prozesse, die ihm gefährlich werden können, zB. antivir.exe, regedit.exe, u.v.m.

    leider gibts bereits so viele varianten, dass man garnicht weiß, welchen wurm man sich jetzt konkret eingefangen hat - ich weiß, bis heute nicht, wie der svcsys32.exe genau heisst.

    MfG, -z0nk-

    pS: Sind wir schon bei SP4 ? :p

    zonked [zpnkt] - if someone is zonked or zonked out, they are not capable of doing anything because they are tired, drunk, or drugged; an informal word.

  • und wir hast du dein problem gelöst? dasd problem ist, ich habe windows nun schon 3 mal neu installiert und danach ist er ja praktisch nackt. dann hab ich mir eine dfü verbindung erstellt und mir das service pack 4 für win2k gezogen und in dir zeit müsste er praktisch schon den virus eingefangen haben :confused:
    am besten noch mal neu formatieren und bevor ich ins netz geh, das servicepack installieren??

  • also ohne virenschutz und firewall ins internet grenzt ja fast schon an selbstmord!

    meine vorgangsweise wäre: neuinstallation, sp4, antivirus incl neuester updates, firwall incl updates

    und dann internet verbindung einrichten und die restlichen patches downloaden!

    was ich auch noch gehört habe was wirken soll (habs aber noch nie selbst ausprobiert): windows im abgesicgherten modus starten und dann den virenscanner (kaspersky) drüberlaufen lassen! es funktionieren aber nicht alle scanner im abgesicherten modus! dann sollten die dinger entfernt werden!

    hoffe es wirkt was!!

    keine ist besser als eine dämliche :)

  • so jetzt hats endlich geklappt. nachdem ich win2k 6 oder 7 mal neu installieren musste hab ich nun das sp4 ne firewall und ein antivirus prog installiert. ist schon schlimm was heutzutage passiert wenn man "nackig" ins internet geht. das war früher mal anders :D
    thx für eure hilfe

  • ich hab auch ein kleines problem mit svchost, also eigentlich meine freundin, was dann aber wiederum mein problem ist.
    wenn der pc gestartet wird, dauert es ca. 5 minuten, bis ich mit der kiste etwas anfangen kann. ich hab gleich nach dem start den taskmanager aufgerufen und dort dann eben gesehen, dass ein svchost so an die 95% belegt. allerdings blinkt weder die led am tower dass gearbeitet wird, noch hör ich dass etwas getan wird. nach ein paar minuten wie gesagt geht der prozentsatz dann auch 1 oder 0 und man kann ganz normal arbeiten. kann ich irgendwie genauer rausfinden welcher prozess von svchost so lang braucht um geladen zu werden? da werden ja mehrere zusammengefasst, soweit ich weiß.
    der prozess heißt im taskmanager auch svchost.exe und nicht anders. ich geh also nicht davon aus dass es ein wurm oder so ist.
    hab auch ad-aware, norton antivirus und zonealarm.
    hab mir schon gedacht dass die kiste eventuell zu wenig ram hat.
    läuft mit xp, intel celeron 466 und 192mb (hab zu den ursprünglichen 64 schon 128 dazugegeben). allerdings hat es ein paar monate einwandfrei funktioniert.
    wahrscheinlich hat meine freundin irgendein programm draufgespielt, von dem sie nicht weiß dass es da ist und ich finds nicht.
    kann ich das irgendwie exakt rausfinden damit das nicht immer beim start geladen wird?
    danke
    mfg markus

    der 4er ist das sehr gut des kleinen mannes

  • die datei kann schon ein virus sein. die original svchost.exe ist in system32. der virus kann durchaus eine datei gleichen namens im windows ordner oder sonstwo anlegen.

  • sagmal, bist du dir sicher, das windows nicht nur zugemüllt ist? kann bei so wenig ram und so nem schwachen prozzi durchaus passieren. wenn ihr das prob ned beheben könnt, schaut euch bei ebay vllt nach nem neuen um

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!