SVCHOST.exe om de 10 seconden naar 100% - Windows clients

woensdag 15 februari 2006 14:18

Acties:

Verwijderd

Topicstarter

Bij een klant draait al een tijdje windows 2000 server SP4 en het netwetk is ontzettend traag.
Nu blijkt dat svchost.exe om de 10 seconden naar 100% schiet in taakbeheer en services.exe schiet ook even omhoog.

Antivirus en adware scans zijn uitgevoerd en alles wat hij had gevonden is nu weg echter blijft het probleem zich voordoen.

Heeft iemand nog een idee waar het aan zou kunnen liggen?

Alvast bedankt.

woensdag 15 februari 2006 14:18

Acties:

Verwijderd

Move NT > WOS

woensdag 15 februari 2006 14:19

Acties:

Blackminister

Hijack this logje aanmaken....daar kun je dan alle processen zien staan en al hetgeen je niet kent, kan je dan verwijderen..

(http://www.spywareinfo.com/~merijn/files/hijackthis.zip)

Hoe meer je weet, des te meer je beseft dat je eigenlijk niets weet

woensdag 15 februari 2006 14:20

Acties:

BFS

Rude awakening

Verwijderd schreef op woensdag 15 februari 2006 @ 14:18:

Antivirus en adware scans zijn uitgevoerd en alles wat hij had gevonden is nu weg echter blijft het probleem zich voordoen.

Wat is er gevonden dan? Hoe weet je dat het weg is? Waarmee heb je gescanned?

Welke rollen heeft die server? Speciale software?

Iets meer info over de server is misschien wel op zijn plaats.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

woensdag 15 februari 2006 14:23

Acties:

Verwijderd

Topicstarter

Er draait op dit moement helemaal niks op die server er staat een tijdelijke server naast die het werk even overneemt tot dit probleem is opgelost.

Er is een online virusscan van panda uitgevoerd die had 14 virussen gevonden en hersteld. Vervolgens met adware remover gescant en 144 gevonden en in quarantine gezet.

woensdag 15 februari 2006 14:24

Acties:

Verwijderd

Topicstarter

Blackminister schreef op woensdag 15 februari 2006 @ 14:19:
Hijack this logje aanmaken....daar kun je dan alle processen zien staan en al hetgeen je niet kent, kan je dan verwijderen..

(http://www.spywareinfo.com/~merijn/files/hijackthis.zip)

handig ga het gelijk even proberen zie verder namelijk geen rare processen misschien dat dit wat oplevert.

woensdag 15 februari 2006 14:31

Acties:

lier

MikroTik nerd

Verwijderd schreef op woensdag 15 februari 2006 @ 14:23:
Er draait op dit moement helemaal niks op die server er staat een tijdelijke server naast die het werk even overneemt tot dit probleem is opgelost.

Er is een online virusscan van panda uitgevoerd die had 14 virussen gevonden en hersteld. Vervolgens met adware remover gescant en 144 gevonden en in quarantine gezet.

Server met virussen ???
Waren deze actief, of ging het hierbij om geïnfecteerde files ?

Naast een herinstallatie (zeker in geval van actieve virussen op de server) zou je kunnen kijken naar eventuele events in de eventviewer. Misschien staat daar iets meer bij ?

Ook al (zelf handmatig) de registry gecontroleerd ?

Eerst het probleem, dan de oplossing

woensdag 15 februari 2006 14:34

Acties:

Verwijderd

Topicstarter

C:\WINNT\System32\WBEM\WinMgmt.exe

Is dit normaal ? Ik dacht dat deze vanuit de system32 werd opgestart.

Herinstallatie is zeker een goed idee.

Wij beheren de server echter niet maar krijgen de schuld dat het netwerk traag is door onze software ik heb nu dus bewezen dat het aan de virussen ligt maar ja die zijn er inmiddels allemaal af en onze software draait nu op een 2003 server ernaast (zonder problemen met antivirus

)

woensdag 15 februari 2006 14:36

Acties:

Verwijderd

Topicstarter

winmgmt staat namelijk ook in de tasklist en schiet ook mee omhoog samen met services en svchost.

Ik las ergens iets over routing and remote access moet deze niet aanstaan als er met terminal services word gewerkt? Deze staat op dit moment disabled..

woensdag 15 februari 2006 14:48

Acties:

BFS

Rude awakening

Twee tellen zoeken:

Winmgmt.exe is a core component of client management in Windows. This process initializes when the first client application connects or continuously when management applications request its services.

Note: The winmgmt.exe file is located in the c:\windows\System32 folder. In other cases, winmgmt.exe is a virus, spyware, trojan or worm! Check this with Security Task Manager.

Bron

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

woensdag 15 februari 2006 14:50

Acties:

Verwijderd

Topicstarter

Daar was ik al bang voor toen ik het zag ...

Ik ga het ff doorgeven aan de klant en dan mogen ze zelf weten wat ze ermee doen.

Bedankt voor de moeite

Topic mag gesloten worden.

woensdag 15 februari 2006 14:58

Acties:

Verwijderd

Topicstarter

echter op de 2003 server staat hij in dezelfde directory en het bestand staat er al vanaf het begin dus het zou wel de juiste dir moeten zijn echter neemt dat niet weg dat het bestand geinfecteerd kan zijn.

woensdag 15 februari 2006 16:14

Acties:

Verwijderd

Topicstarter

Het probleem zat hem in de automatische updates van windows dit heb ik kunnen achterhalen door filemon te draaien leuk tooltje.

Automatische updates uitgezet en hij is weer rustig..

Pagina: 1

Reageer