Prozess "svchost" = 100% CPU Auslastung

[Phiffi]

Hi Leutz!
Sobald ich ins Internet gehe braucht der Prozess "svchost" 100% Cpu Leistung.
Das ist doch nicht normal oder?!?
Für was ist der Prozess überhaupt zuständig?
Kann ich den einfach beenden?
Ich glaub nicht, dass das ein Virus verursacht, weil ich die neueste
Version von AntiVir installiert habe.
Bitte helft mir!!!

mfg
Phiffi

[miezmutz]

Hallo Phiffi,
auch wenn du glaubst, Viren wären ausgeschlossen...mach doch sicherheitshalber mal den Check mit Hijack This...

1. lad dir HijackThis z.B. hier runter: http://216.180.233.162/~merijn/downloads.html ,
   (es muß nicht installiert werden, aber es braucht einen eigenen Ordner, damit es Backups erstellen kann)
2. führe das Programm aus, (einfach Doppelklick auf die EXE),
3. drücke Do a system scan and save a logfile
4. speicher das logfile
5. das gespeicherte logfile öffnet sich automatisch im Text-Editor , markiere alles, und kopiere es (mit „Rechtsklick + Kopieren“ oder über "Strg + C")
6. poste das komplette logfile hier in deinen thread (mit „Rechtsklick + Einfügen“ oder über „Strg + V“), dann können die Experten dir sagen, was Sache ist.

[Phiffi]

Logfile of HijackThis v1.99.0
Scan saved at 23:13:01, on 01.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\Surround Mixer\CTSysVol.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\socksxt.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Gebührenzähler\Counter.exe
C:\Programme\Motherboard Monitor 5\MBM5.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Phiffi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDownload\fdcatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [blah service] socksxt.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [blah service] socksxt.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Gebührenzähler.lnk = ?
O4 - Startup: MBM5.lnk = C:\Programme\Motherboard Monitor 5\MBM5.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7219FC9-B13E-4F5E-8107-1DDC8AC43788}: NameServer = 195.180.210.65 212.224.33.33
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

[Nikita]

Hallo@Phiffi

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Gehe in die Registry
Start<Ausfuehren<regedit

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern
HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [blah service] socksxt.exe
O4 - HKLM\..\RunServices: [blah service] socksxt.exe

PC neustarten

Loesche: (darf nicht im Taskmanager aktiv sein)
C:\WINDOWS\System32\socksxt.exe

#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterpr ... ll_pre.php

Lade SP2 (Updates)-->wenn du eine gueltige XP.cdkey hast
#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

<Zone Labs
ZoneAlarm von Zone Labs ist in der Grundversion kostenlos und besonders für Einsteiger geeignet.
http://www.zonelabs.de/download/znalm.html
<Zone Alarm Deutsche Bedienungsanleitung
Kleines Manual auf trojaner-info.de, auch zum Download.
http://www.trojaner-info.de/zone/zonealarm.html

dann poste das neu Log

*****
http://cds.unionway.com/risk/html/20041 ... 0.log.html

[Phiffi]

Danke für deine Hilfe!

Ich bin allerdings nur bis zum BitDefender Scan
gekommen, weil mein Internet total überlastet ist.
Ich weiß nicht warum, aber es werden selbst im Leerlauf
Daten gesendet. Außerdem ist mir aufgefallen, dass, wenn
das Internet aus ist, Informationen von
www.webnews.somoslosmuchachos.com.ar
angefordert werden.
Die Seite kenn ich überhaupt nicht!

Obwohl die Firewall von Win XP aktiv ist, werden
während des Surfens Trojaner und Würmer von AntiVir
erkannt.

Ach ja! Und die CPU ist nur überlastet wenn ich mit dem IE surfe.
Bei Firefox tritt das nicht auf.
Wenn das so weiter geht muss ich Win XP neu Installieren!

mfg
Phiffi

[Nikita]

Hallo@Phiffi

socksxt.exe

muss geloescht werden (darf also nicht im Autostart sein und auch nicht im Taskmanager aktiv)

http://bilder.informationsarchiv.net/Nikitas_Tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
-------------------------------------------------------------------------------------------
dann mache die Scanns (Online)

[Phiffi]

Beim Ausführen der kavupd.exe tritt folgender Fehler auf:

Cannot obtain contents of update files source folder ‘/updates_x/’ Failed!

Daraufhin hab ich den besagten Ordner erstellt, allerdings nützt das nichts.

Was mach ich falsch?

[Nikita]

dieses Problem kenne ich nicht, also kann ich auch nicht antworten.

Scanne dennoch mit dem eScan (auch ohne update)

[one]

schau mal ob du es hiermit http://www.soft-ware.net/system/steueru ... p03754.asp
im autostart findest.

dann natürlich kicken und weiter auf nikita hören.

*wiederabmeld*

[Phiffi]

Ich hab jetzt Windows neu installiert.
Sonst wäre ich nie aus diesem Teufelskreis entkommen!
Ohne diesem Update konnte ich nämlich die mwav.exe nicht starten.

Jetzt hab ich endlich das Update.

Trotzdem vielen Dank für eure Hilfe!!!

mfg
Phiffi