Hi,

bin mit dem Nerven am Ende nachdem ich quasi ein komplettes WE weggeschmissen habe um meinem Scheissrechner endlich beizubringen das er diesem miesen SVCHOST nicht immer 50 - 95% der CPU-Leistung zuordnen soll :(

Das ganze fing damit an das ich meinen PC von einem Asus P5N-E SLI auf ein Asus P5N-E SLI umgebaut habe.

Hä? Ja, richtig gelesen!

Hatte mit dem alten Mobo ein kleines Problem und hatte das Ding gleich nochmal rumliegen, also einfach das andere eingebaut und das Schicksal nahm seinen Lauf :(
Zuerst hab ich mich gewundert wieso ich meine Internetverbindung nicht mehr aufrufen konnte und die Kiste überhaupt recht lahm war. Also nachgeschaut und siehe da, einer der SVCHOSTS lieferte ständig 50 - 95% Auslastung :eek:
Vor allem konnte ich aber auch keinerlei Netzwerkdienste mehr aufrufen, selbst der Reiter in der Systemsteuerung ging nicht mehr auf..

Hmm was tun? Ok, Prozess abgeschossen und schon gings wieder ins Netz, toll, leider baut sich das Scheissteil alle paar Sekunden wieder von selbst auf. Aber irgendwann ging dann sogar mal das surfen einigermassen. Also bissl Stuff durchgelesen und bin jetzt ne Ecke schlauer. Ums gleich vornewegzunehmen, es liegt nicht am Update-Dienst oder anderen illustren Dingen. Ich mag hier gar nicht wiedergeben was ich alles ausprobiert habe, inklusive kompletter Neucompilierung der ganzen MOF und MFTs für den WMI :frown:

Ergebnis: NULL ERFOLG! SVCHOST krallt sich immer noch fröhlich seine 50 - 95% CPU-Leistung

Also letzte Ausflucht, Reparaturinstallation!
Klappte auch zunächst, leider war meine XP-Version nach der Reparaturinstallation nicht gleich auf Servicepack 2, also nachinstalled und HURRA, na wer ahnt es..? SVCHOST ist wieder da :rolleyes:
Ich kann gar nicht soviel fressen wie ich kotzen mag :mad:

Hab mittlerweile mit nem Pozessbeobachter rausgekriegt das es am Netman liegt, der Svchost ist ja immer für mehrere Dienste zuständig. Aber was nutzt das? Den Netman kann man doch nicht komplett rausschmeissen oder doch?

Help pls, sonst spring ich noch aus dem Fenster (Erdgeschoss) ;(

PS: keine Viren oder sonstiger Mist auf der Pladde, ist alles abgecheckt..

Bau dir doch eine CD mit integriertem SP3 (wieso installierst du SP2?) und versuch nochmal eine Reperatur-oder evtl. komplette Neuinstallation.

Vielleicht mal der SysinternalsSuite mal den FileMon probieren... :/

tasklist /svc

und nachgucken. Evt. hilft ja dann das:

http://www.heise.de/security/Update-Suche-blockiert-Windows-XP--/news/meldung/89692

Vielleicht mal der SysinternalsSuite mal den FileMon probieren... :/

Der ist jetzt in dem Process Monitor aufgegangen. In diesem Fall greift man aber erstmal zum Process Explorer von Russinovich. ;)

Gruß,
TC

Der ist jetzt in dem Process Monitor aufgegangen. In diesem Fall greift man aber erstmal zum Process Explorer von Russinovich. ;)

Gruß,
TC

genau den hab ich benutzt und muss im übrigen meine Darstellung von oben korrigieren, der Netman ist unschuldig, muss entweder der RAS-Dienst sein oder Telefonie, das sind die letzten beiden die ich noch nicht abschiessen konnte...

Ach ja @Rolsch: das mit dem Softwaredistribution-Verzeichnis hab ich mittlerweile schon 3-4 mal gemacht, teilweise mit anderen Parametern, wirkt alles nix :(

Verwendest du WLAN? Wenn ja würd ich mal die ganzen Komponente im Systemmanger löschen und neu installieren, da hört man öfters von solchen Effekten.

nee kein WLAN, normales DSL über Ethernet

Hi Fritte,

kannst du das in der Thread Ansicht des svchost Prozesses nicht weiter eingrenzen?

Gruß,
TC

der SVC der da rumspackt, bedient ca. 15 verschiedene Prozesse
Die meisten davon kann ich problemlos abschiessen, paar zumindest pausieren

Werde mich heute abend nochmal damit beschäftigen, vielleicht stell ich mal nen Screenie rein
Erstmal danke für deine Bemühungen :up:

Der ist jetzt in dem Process Monitor aufgegangen. In diesem Fall greift man aber erstmal zum Process Explorer von Russinovich. ;)

Gruß,
TC
Ah, danke ich glaub der Pro.-Monitor wurde vor kurzem aktualisiert... hab da noch die alte Variante.
[...]
Die letzte Ausweg ist aber ne Neuinst., nicht ne Rep.-Inst.;)

so, hab jetzt mal geschaut was der SVCHOST so macht, der baut bis zu 3 Prozesse auf die da alle heissen:

kernel32.dllCreateThread+0x22

diese Prozesse verwenden folgenden Stack:

ntkrnlpa.exe!KiUnexpectedInterrupt+0x121
ntkrnlpa.exe!ZwYieldExecution+0x1c8e
hal.dll+0x2ef2
hal.dll!HalRequestSoftwareInterrupt+0x3c
ntkrnlpa.exe!NtMakePermanentObject+0xd8f
ntkrnlpa.exe!ObOpenObjectByName+0xea
ntkrnlpa.exe!LsaDeregisterLogonProcess+0xc699
ntkrnlpa.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel+0xb74
ntdll.dll!KiFastSystemCallRet
ADVAPI32.dll!RegOpenKeyExW+0xe6
netman.dll+0x1458
netman.dll+0x20454
netman.dll+0x27f4e
netman.dll+0x28076
netman.dll+0x281ce
netman.dll+0x283d6
netman.dll!ServiceMain+0x3fd6
netman.dll!ProcessQueue+0x4c9c
netman.dll!ProcessQueue+0x4c3e
netman.dll!ProcessQueue+0x4b8f
netman.dll!ProcessQueue+0x40c1
netman.dll!ProcessQueue+0x3cfa
netman.dll!ProcessQueue+0x3df1
RPCRT4.dll!CheckVerificationTrailer+0x70
RPCRT4.dll!NdrStubCall2+0x215
RPCRT4.dll!CStdStubBuffer_Invoke+0x82
ole32.dll!StgGetIFillLockBytesOnFile+0xfc92
ole32.dll!StgGetIFillLockBytesOnFile+0xfc3c
ole32.dll!CoRevokeClassObject+0xa3e
ole32.dll!CoRevokeClassObject+0x963
ole32.dll!StgGetIFillLockBytesOnFile+0xf872
ole32.dll!WdtpInterfacePointer_UserMarshal+0x80e
ole32.dll!StgGetIFillLockBytesOnFile+0xf792
RPCRT4.dll!NdrGetTypeFlags+0x1c9
RPCRT4.dll!NdrGetTypeFlags+0x12e
RPCRT4.dll!NdrGetTypeFlags+0x5a
RPCRT4.dll!CreateStubFromTypeInfo+0x2d7
RPCRT4.dll!CreateStubFromTypeInfo+0x318
RPCRT4.dll!NdrConformantArrayFree+0x2cb
RPCRT4.dll!NdrConformantArrayFree+0x20f
RPCRT4.dll!I_RpcBCacheFree+0x61c
RPCRT4.dll!I_RpcBCacheFree+0x43e
RPCRT4.dll!I_RpcBCacheFree+0x604
kernel32.dll!GetModuleFileNameA+0x1b4


was das bedeutet weiss ich nicht :sneak:

Kann da einer was draus erkennen?

PS: killt man einen der Prozesse, dann übernehmen die anderen die CPU-Ressourcen

Woher weißt Du denn so genau, dass es kein Virus ist? Wenn er sich als Dienst ins System einbauen konnte, hat er eine für seine Zwecke recht komfortable Position eingenommen. Virenkiller können auch nur blind Signaturen abfahren und Heuristik ist nur bedingt intelligent. Es stellt kein Problem dar, einen Virus vor solcher Software zu verstecken.

Hast Du ausgehenden Traffic und Dateizugriffe gründlich überwacht und ausgewertet?

geht kein Traffic raus, ist alles zugepflastert!

Prozesscanner sagt auch das nix rausgeht

Virus kann man nie ausschliessen aber Symantec findet nix, was sollte ich noch machen?

PS: killt man einen der Prozesse, dann übernehmen die anderen die CPU-Ressourcen

das würde doch heissen das es schon im Endeffekt an der svchost liegt :confused:

What is svchost.exe? (http://www.howtogeek.com/howto/windows-vista/what-is-svchostexe-and-why-is-it-running/)

Schau mal das hier an:
http://ask-leo.com/how do i fix this high cpu usage svchost virus or whatever it is (http://ask-leo.com/how_do_i_fix_this_high_cpu_usage_svchost_virus_or_whatever_it_is.html)

Ist Windows update service bei dir deaktiviert?

Ansonsten "start from scratch", wenn das alles nicht weiterhilft.

Viel Erfolg

/Edit: das könnte man auch noch probieren:
how to fix svchost using 100% CPU (http://www.technibble.com/how-to-fix-svchost-using-100-cpu-memory-leak/)
das script scheint ok zu sein es registriert nur alles durch. Das ist aber keine Garantie meinerseits.

Kann ich bestätigen, dass Windows Update gerne mal die Kiste lahmlegt. Das würde ich zuerst überprüfen.

Ansonsten kann ich mich dem Tipp mit dem Dateizugriff via Processmonitor nur anschließen. Das Ding sagt dir definitiv mit welchen Dateien der Servicehost rumhantiert. Daran sollte man erkennen, worum es sich handelt.

Ich hatte es mal bei einem Rechner eines Bekannten. Dort hatte ich Windowsupdate "aufgerüstet" zu Microsoft Update damit auch Updates für Office einfach gezogen werden konnten.
Irgendwann im Zeitraum der Bereitstellung von XP SP3 war der Rechner unwahrscheinlich lahm und reagierte stark Verzögert und der Prozessor war immer voll ausgelastet. Nach Deinstallation von Microsoft Update ging es wieder.

Hängt mit dem Dienst "Automatische Updates", der ebenfalls via SVCHOST bedient wird, zusammen. Entweder die entsprechenden Updates draufknallen oder den Dienst dauerhaft beenden.

Nein die ganze Sache hat leider nichts mit den Updates zu tun, diesen Dienst habe ich liquidiert und danach einbetoniert, das könnt ihr mir glauben

Allerdings hab ich gestern nochmal nen anderen Virenscanner laufen lassen, den Free Avira, dies obwohl Symantec nix gefunden hat, nichtmal mit neuen Signaturen!
Und was kam raus? Zwei Nuker drauf gehabt :mad: Schätze mal die haben die Reg für die NIC zerschossen, so das ständig irgendwas gesucht oder gemacht wird vom PC...

Sollte ich jemals einen dieser kleinen Wi**** von Virenprogrammierern in die Hände kriegen dann wird das ein Blutbad :ubash2:

Na, wenn Du AutoUpdates abschaltest, darfst Du Dich nicht beschweren. Ist wie eine große, rot leuchtende Einladung für alle Viren, Trojaner und ähnliches Gschwerl.

Na, wenn Du AutoUpdates abschaltest, darfst Du Dich nicht beschweren. Ist wie eine große, rot leuchtende Einladung für alle Viren, Trojaner und ähnliches Gschwerl.

das hab ich natürlich erst abgeschaltet nachdem ich das Problem hatte um eben rauszufinden obs daran liegt...

Im übrigen kann man ja die Updates auch über reguläre Seiten wie Winfuture ziehen und installen...

Hast du das prob auch im abgesicherten Modus?

Hast du das prob auch im abgesicherten Modus?

noch nicht ausprobiert, aber was würde es helfen das zu wissen?

nur so ein Gedanke, evt tut irgendein Treiber mucken.

nur so ein Gedanke, evt tut irgendein Treiber mucken.

schon alle neu installed und auch upgedated, keine Änderung...

Ich weiß das ich das gleiche vor 2 jahren auch mal bei einem meiner lappys hatte. Hab nur vergessen wie ich es gelöst hab.

Evt ist es wirklich besser alles neu aufzusetzen.

Also ich würde in dem Fall Alles plätten und neu installieren, die Fehlersuche gestaltet sich doch schon so langiwerig, dass du das Sys schon lange hättest neu aufsetzen können.

Also ich würde in dem Fall Alles plätten und neu installieren, die Fehlersuche gestaltet sich doch schon so langiwerig, dass du das Sys schon lange hättest neu aufsetzen können.

völlig richtig, bin jetzt shcon 3 tage dran, da hätt ich schon 10mal neu aufsetzen können ... aber die Hoffnung stirbt eben zuletzt

Was ist denn mit ProcMon? Das wurde nicht umsonst von mehreren Leuten empfohlen.

völlig richtig, bin jetzt shcon 3 tage dran, da hätt ich schon 10mal neu aufsetzen können ... aber die Hoffnung stirbt eben zuletzt
Ja, kenne ich!
Man will eben seine geliebte Platte nicht töten. ;)
Aber mittlerweile bin ich da gnadenlos, einfach weil ich keine Zeit mehr für die Fehlersuche habe.

Ja, kenne ich!
Man will eben seine geliebte Platte nicht töten. ;)
Aber mittlerweile bin ich da gnadenlos, einfach weil ich keine Zeit mehr für die Fehlersuche habe.

Ich versteh nicht wieso alle gleich immer die ganze Platte formatieren wollen, nur um Windows aufzusetzen?
Also das Windows Vista Setup zumindest verschiebt einfach den Programme und Windows Ordner nach \Windows.old
Die Windows Versionen davor nicht aber kann man ja mit Knoppix oder so selber machen.

Ich hab eine Systemplatte und mehrere Datenplatten.
Deswegen plätte ich dann gnadenlos und setze dann neu auf. (die Angewohnheit stammt noch aus meinen 98SE Zeiten. ;)

Ich versteh nicht wieso alle gleich immer die ganze Platte formatieren wollen, nur um Windows aufzusetzen?
Also das Windows Vista Setup zumindest verschiebt einfach den Programme und Windows Ordner nach \Windows.old
Die Windows Versionen davor nicht aber kann man ja mit Knoppix oder so selber machen.

Weil man dann eine saubere, normalerweise fehler- und virenfreie Installation drauf hat. :rolleyes:

der roadrunner

Ich hab eine Systemplatte und mehrere Datenplatten.
Deswegen plätte ich dann gnadenlos und setze dann neu auf. (die Angewohnheit stammt noch aus meinen 98SE Zeiten. ;)

wozu ganze Platten? Ne Systempartition kannste genausogut einzeln formatieren, die Daten liegen derzeit ruhig auf den anderen Partitionen ;)