#1 20. März 2008 Moin Moin, mein Freund hat mich eben mit folgender Problemschilderung angeschrieben : " ... egal was ich am pc mache und wielange er läuft, plötzlich nimmt mein svchost 100% cpu last ein für 1-5 minuten und das im Abstand von 3-7 Stunden.." Ich hab ihn darauf um HijackThis file gebeten : Code: Logfile of HijackThis v1.99.1 Scan saved at 22:09:22, on 20.03.2008 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Tobsen\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - Startup: Windows Media Player.lnk = C:\Programme\Windows Media Player\wmplayer.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199740664578 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C004F9E7-6C29-4724-BB19-DBD60E76FD39}: NameServer = 213.191.74.18 62.109.123.196 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe O23 - Service: wampapache - Unknown owner - c:\Programme\wamp\apache2\bin\httpd.exe" -k runservice (file missing) O23 - Service: wampmysqld - Unknown owner - c:\Programme\wamp\mysql\bin\mysqld-nt.exe dimsntfy.dll kam mir bei flüchtigem blick vor, er hat aber nen Raid-Controller. Ich guck mir das nochma an und sag, wenn ich was finde aber bitte euch das auch mal anzugucken, denn die "verhaltensweise " ist ein wenig komisch für nen nicht trojaner.. Ich dachte auch zuerst an nen WindowsUpdate Prob, aber das isses anscheinend nicht. Schonma Danke + Multi-Zitat Zitieren
#2 20. März 2008 AW: svchost bei 100 %- Trojaner ? Zu dem Log kann ich nur sagen: Laut automatischer Auswertung von hijackthis.de ist alles soweit clean. Ich würde dir aber mal dazu raten deine Hijackthis-Version zu updaten und nen neuen Log erstellen zu lassen. MFG TuXiFiED + Multi-Zitat Zitieren
#3 20. März 2008 AW: svchost bei 100 %- Trojaner ? er sagt er hat sich die gezogen, aber es gibt noch ne 2.02 oder ? ..editiere den hier noch Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:55:42, on 20.03.2008 Platform: Windows XP SP3, v.3264 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.3264) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\TortoiseSVN\bin\TSVNCache.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\Windows Media Player\wmplayer.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Tobsen\LOKALE~1\Temp\Rar$EX00.156\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - Startup: Windows Media Player.lnk = C:\Programme\Windows Media Player\wmplayer.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199740664578 O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C004F9E7-6C29-4724-BB19-DBD60E76FD39}: NameServer = 213.191.74.18 62.109.123.196 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Ad-Aware 2007\aawservice.exe O23 - Service: wampapache - Apache Software Foundation - c:\Programme\wamp\apache2\bin\httpd.exe O23 - Service: wampmysqld - Unknown owner - c:\Programme\wamp\mysql\bin\mysqld-nt.exe -- End of file - 3621 bytes Ok hier ist der log mit dem neuen HJT Also wir haben bisher nichts gefunden was kritisch aussieht... need hlp Es muss eigentlich das Win Update sein ^^ es ist immer Microdo$e + Multi-Zitat Zitieren
#4 20. März 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: svchost bei 100 %- Trojaner ? Hab hier was gefunden was auch im obigen Log schon "verdächtig" war, denke aber eher das es nen Fehlalarm ist: {bild-down: https://www.xup.in/pic,13950629/wtf.png} Ist angeblich folgender Wurm: Vollständige Virenbeschreibung Halte es zwar für einen Fehlalarm, er könnte dem allerdings trotzdem mal nachgehen. Lieber ein Mal zu genau hingucken, als ein mal zu wenig. MFG TuXiFiED + Multi-Zitat Zitieren
#5 20. März 2008 AW: svchost bei 100 %- Trojaner ? isn fehlalarm, ist wirklich sein wmp. Danke aber + Multi-Zitat Zitieren
#6 20. März 2008 AW: svchost bei 100 %- Trojaner ? Hmm - vielleicht hilft ja eine der 2 hier genannten Methoden: svchost.exe CPU-Auslastung 99% oder 100% - Blognotizen Ansonsten einfach mal googlen, hab das Problem selber noch nicht gehabt von daher diesbezüglich keine Lösung parat. MFG TuXiFiED + Multi-Zitat Zitieren
#7 27. März 2008 AW: svchost bei 100 %- Trojaner ? sowas hatten wir mal auf der arbeit ka woran das lag solang der prozess raus wa lief der server sauber doch sobald er wieder gestratet wuirde war der ganze server am einschlafen.... fürs erste einfach mal killen und nur starten wenn du ihn brauchst. greetz young + Multi-Zitat Zitieren