svchost überfüllt RAM

[Matrixxx]

Guten Morgen zusammen!

Ich habe auf meiner Workstation seit einer Weile erhebliche Probleme mit dem Service Host (svchost.exe). Dieser "bläht" sich dermaßen aus, dass teilweise mein ganzes System darunter leiden muss. Gestern war die RAM-Auslastung bei über 1 GB, nur von dieser einen Datei versteht sich! Welche der verschiedenen svchost.exe Prozesse bei mir Probleme verursacht könnt ihr in einem Screenshot aus dem Process Explorer sehen: http://img21.imageshack.us/img21/6182/20090212104042om7.jpg

Die im Internet oft geratenen Tipps wie
-> Rechner auf Spyware/Viren/Trojaner/Grayware/etc. zu untersuchen
-> Windows-Update-Funktion überprüfen

habe ich bereits angewandt. Alles sauber. Die Windows-Updates kommen bei mir über einen WSUS-Server rein, also besteht auch hier kein Problem.

Ich hoffe ihr habt noch ein paar Vorschläge für mich!

Vielen Dank im Voraus!!!

Hier ein aktuelles HiJackThis-Logfile von der Workstation:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:29, on 12.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ccs.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Nortel\ESM\ESMService.exe
C:\Nortel\ESM\jre\bin\rmiregistry.exe
C:\WINDOWS\system32\svchost.exe
C:\Nortel\ESM\ESMService.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Nortel\ESM\jre\bin\java.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\TEMP\ER951D.EXE
C:\Programme\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Cisco Aironet\ADU.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\NetSupport\NetSupport Manager\PCICTLUI.EXE
C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE
C:\Programme\lotus\notes\NLNOTES.EXE
C:\Programme\lotus\notes\ntaskldr.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Pointdev\IDEAL Administration\IA.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\visionapp\visionapp Remote Desktop\vRD.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = xxx.net:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;*.xxx.net;<local>
O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ADU] "C:\Programme\Cisco Aironet\ADU.exe" -nogui
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KeePass Password Safe] "C:\Dokumente und Einstellungen\xxx\Desktop\KeePass\KeePass.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Desktop Manager.lnk = ?
O4 - Startup: PRTG System Tray Notifier.lnk = C:\Programme\PRTG Network Monitor\PRTG System Tray Notifier.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware server\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware server\vsocklib.dll
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://10.74.6.50/officescan/console/ClientInstall/WinNTChk.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.net
O17 - HKLM\Software\..\Telephony: DomainName = xxx.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A803AD7-CE1A-4E95-BC8E-FA4AA406D336}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.net
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: Cisco Configuration Service (CCS) - Cisco Systems, Inc. - C:\WINDOWS\system32\ccs.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: DirMngr - Unknown owner - C:\Programme\GNU\GnuPG\dirmngr.exe
O23 - Service: ESM Scheduler (ESMScheduler) - Unknown owner - C:\Nortel\ESM\ESMService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: RMIRegistry - Unknown owner - C:\Nortel\ESM\ESMService.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Roxio\Digital Home 9\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Programme\TeamViewer\Version4\TeamViewer_Service.exe
O23 - Service: OfficeScan NT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: OfficeScan NT Proxy Service (TmProxy) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: VMware Host Agent (VMwareHostd) - Unknown owner - C:\Programme\VMware\VMware Server\vmware-hostd.exe
O23 - Service: VMware Server Web Access (VMwareServerWebAccess) - Apache Software Foundation - C:\Programme\VMware\VMware Server\tomcat\bin\Tomcat6.exe
O23 - Service: VMware VSS Writer (vmwriter) - VMware, Inc. - C:\Programme\VMware\VMware Server\vmVssWriter.exe

--
End of file - 10128 bytes

 

[Papa Schlumpf]

Ich habe auch Probleme mit der Datei seid ein paar Tagen!

Nur wird diese von Ad-Ware SE als "Win32.Trojan.Agent" gemeldet.
Jedoch meldet mein Kaspersky Programm diese nicht, demnach ist mein PC sauber. Nur mein PC hängt sich ständig neuerdings auf.
Ein löschen oder verändern der Datei geht nicht, da sie vom System benötigt wird.

Keine Ahnung, ob nun was ist mit der Datei (verseucht) oder nicht?

 

[Blattwerk]

@ Matrixxx

wenn es keine zwingenden Gründe* dafür gibt, sollte das System aktualisiert werden.

Weiter würde ich alle Programme die zum Betrieb des Systems nicht erforderlich sind, aus den AutoStart-Bereichen nehmen.

Damit meine ich nicht nur, dass unnötige/entbehrliche Programme und Helper, sondern auch zugehörige Dienste, die - wenigstens temporär - aus dem System genommen werden sollten.


Besonderen Wert würde ich auf Programme legen, die sich sowieso recht tief ins System eingraben und womöglich gleiche Anwendungsbereiche ganz - oder teilweise abdecken.

- die Produkte von Trend Micro und Comodo
- CDBurnerXP, Daemon Tools und Roxio
... und was sich da sonst noch tummelt.


Wenn Du damit keine vernünftigen Ergebnisse erzielst, kannst Du auch "notwendige" Programme sukzessive aus dem System nehmen, respektive wieder einbeziehen.


Blattwerk


* dass benötigte Programme nicht unter dem SP3 laufen. Dazu gehören auch andere System- und Anwendungsprogramme, Chipsatz- und Grafiktreiber ....

 

[Matrixxx]

Nach einem Update auf SP3 hat sich das Problem verflüchtigt.
Danke für eure Unterstützung!