svchost probleem ja\nee??

woensdag 17 februari 2010 19:40

BEATI PAVPERES SPIRITV

't Zijn er wel erg veel imho. Een symptoom van W32/Conficker trouwens, hoewel er daar normaal gezien geen user vermeld staat. Voer eens een scan uit met Stinger.

[ Voor 15% gewijzigd door YellowOnline op 17-02-2010 20:04 ]

Acties:

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Als je weet dat je geinfecteerd bent / bent geweest is de enige echt verstandige aanpak een reinstallatie van het systeem vind ik. Je weet nu nooit wat er met de trojan is gebeurt, wat er nog meer op jouw systeem is gebeurt en wie dat heeft gedaan. Ik zou het zekere voor het onzekere nemen. Vaak word het ene stuk malware gebruikt om nog veel meer malware binnen te hengelen.

[ Voor 12% gewijzigd door Bor op 17-02-2010 19:40 ]

woensdag 17 februari 2010 19:40

Acties:

woensdag 17 februari 2010 19:43

Topicstarter

TheCoolGamer schreef op woensdag 17 februari 2010 @ 19:35:
Dit ziet er nog normaal uit. Google maar eens op svchost en je zult zien dat het normaal is dat hij er vaak instaat.

hij zit nu al op 190..

Acties:

woensdag 17 februari 2010 19:44

Topicstarter

YellowOnline schreef op woensdag 17 februari 2010 @ 19:38:
't Zijn er wel erg veel imho. Een symptoom van W32/Conficker trouwens, hoewel er daar normaal gezien geen user vermeld staat. Voer een een scan uit met Stinger.

ik ben bezig met de scan, erg bedankt!

Acties:

woensdag 17 februari 2010 19:45

Topicstarter

Bor de Wollef schreef op woensdag 17 februari 2010 @ 19:40:
Als je weet dat je geinfecteerd bent / bent geweest is de enige echt verstandige aanpak een reinstallatie van het systeem vind ik. Je weet nu nooit wat er met de trojan is gebeurt, wat er nog meer op jouw systeem is gebeurt en wie dat heeft gedaan. Ik zou het zekere voor het onzekere nemen. Vaak word het ene stuk malware gebruikt om nog veel meer malware binnen te hengelen.

ik heb net een clean install gedaan deze zit er nu zon maandje op..
probeer het eerst op te lossen en anders weer een nieuwe install
btw wat is normaal hoeveel die svchost gebruikt in het processbeheer??

Acties:

woensdag 17 februari 2010 19:46

190 wat ??

190x svchost process actief? Dat is niet normaal. Zoveel services heb je vast niet eens laat staan dat ze allemaal gestart zijn.

190 MB? Dat kan prima, ligt er maar net aan welke service zoveel geheugen afsnoept en of dat voor de service als normaal te beschouwen is.

Svchost an sich zegt niets. Je moet eerst kijken naar de services die daarin draaien. Die kan je zichtbaar maken met o.a. Process Explorer

Ook '100%' cpuverbruik zegt niets tot je achterhaalt hebt welk process dat precies gebruikt. Als je dat weet dan kan je ook selectief te werk gaan.

Op je screenshot ziet het er niet raar uit. M.u.v. het processorgebruik.

GabrielZ schreef op woensdag 17 februari 2010 @ 19:44:
[...]
btw wat is normaal hoeveel die svchost gebruikt in het processbeheer??

Dat ligt dus aan het process wat daarin geladen is.

[ Voor 16% gewijzigd door Dysmael op 17-02-2010 19:50 ]

Acties:

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

GabrielZ schreef op woensdag 17 februari 2010 @ 19:43:
[...]

ik ben bezig met de scan, erg bedankt!

Vergeet niet dat Stinger maar een erg beperkte scan uitvoert.

GabrielZ schreef op woensdag 17 februari 2010 @ 19:44:
[...]
ik heb net een clean install gedaan deze zit er nu zon maandje op..
probeer het eerst op te lossen en anders weer een nieuwe install
btw wat is normaal hoeveel die svchost gebruikt in het processbeheer??

Het punt is dat niet niet met zekerheid kunt zeggen dat je het hebt opgelost nu je al geïnfecteerd bent.

[ Voor 48% gewijzigd door Bor op 17-02-2010 19:47 ]

woensdag 17 februari 2010 19:48

Acties:

CoolGamer

What is it? Dragons?

GabrielZ schreef op woensdag 17 februari 2010 @ 19:44:
btw wat is normaal hoeveel die svchost gebruikt in het processbeheer??

Een keer of ~15. Ligt er natuurlijk aan wat je allemaal hebt geinstalleerd.

Zie tot toe niks wat tot de problemen leidt die jij schrijft.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

woensdag 17 februari 2010 19:54

Acties:

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Welke Trojan is gevonden overigens? Wellicht is dat ook niet helemaal irrelevant.

woensdag 17 februari 2010 20:08

Acties:

woensdag 17 februari 2010 20:09

BEATI PAVPERES SPIRITV

190x svchost is wel, euh, een gegarandeerde besmetting met iets.

Ter vergelijking: ik draai een zwaar systeem met veel actieve programma's en er is 12x svchost actief.

Bor de Wollef schreef op woensdag 17 februari 2010 @ 19:46:
[...]
Vergeet niet dat Stinger maar een erg beperkte scan uitvoert.
[...]

Ik raad 'm Stinger aan omdat ik in eerste instantie een Conficker-infectie vermoed. Behoorlijk omslachtig om van een svhost-infectie in conficker vanaf te geraken trouwens.

Acties:

Mektheb

Stinger / malewarebytes / hitmanpro

Genoeg tools om te kijken of je het schoon gaat krijgen

woensdag 17 februari 2010 20:18

Acties:

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

YellowOnline schreef op woensdag 17 februari 2010 @ 20:08:
Ik raad 'm Stinger aan omdat ik in eerste instantie een Conficker-infectie vermoed. Behoorlijk omslachtig om van een svhost-infectie in conficker vanaf te geraken trouwens.

Dat snap ik. Waar ik op doel is dat opruimen in dit stadium vrijwel zinloos is gezien de kans op achterblijvende troep of een nieuwe besmetting behoorlijk is. De enige betrouwbare methode is een reinstall zoals ik eerder aanraadde.

woensdag 17 februari 2010 20:33

Acties:

woensdag 17 februari 2010 20:33

Topicstarter

ik heb niet 190x svchost maar, hij loopt constant op.. als ik de pc opstart, gebruikt hij 100mb en het loopt maar op de pc staat nu een uur aan en het is nu al 200mb..
in procesbeheer staat er nu 12 svchost onder elkaar..?

de virusscanners etc vinden nu totaal niks meer..

Acties:

woensdag 17 februari 2010 20:34

@iedereen die gereageert heeft in dit topic: zoek eerst eens op wat svchost precies is voordat je uitspraken doet s.v.p.

Acties:

woensdag 17 februari 2010 20:48

BEATI PAVPERES SPIRITV

Bor de Wollef schreef op woensdag 17 februari 2010 @ 20:18:
[...]

Dat snap ik. Waar ik op doel is dat opruimen in dit stadium vrijwel zinloos is gezien de kans op achterblijvende troep of een nieuwe besmetting behoorlijk is. De enige betrouwbare methode is een reinstall zoals ik eerder aanraadde.

Als het Conficker is valt dat wel mee hoor. Ik doe er toch zeker een handvol per dag. Het is vooral op Win2K een ramp. De dlls worden door Stinger gevonden en zijn er meestal niet zoveel (nou ja, met zijn 190 svchost...

). Het grootste werk zit 'm in het register uitkuisen. Een reinstall is natuurlijk altijd de properste oplossing en waarschijnlijk de minst omslachtige.

RolfLobker schreef op woensdag 17 februari 2010 @ 20:33:
@iedereen die gereageert heeft in dit topic: zoek eerst eens op wat svchost precies is voordat je uitspraken doet s.v.p.

De naam zegt het zelf: een hostprocess dat services groepeert. Vind jij 190 svchostprocessen niet abnormaal dan?

[ Voor 19% gewijzigd door YellowOnline op 17-02-2010 20:36 ]

Acties:

woensdag 17 februari 2010 20:52

190x is zeker abnormaal maar volgens mij was ik diegene die in de mond nam dat er 190x svchost gestart was. TS heeft dat niet beaamt. Ik heb het idee dat hij 190 MB aan geheugengebruik bedoeld.

Edit: wat ik aan wil geven is dat er gekeken moet worden naar de oorzaak, niet naar een symptoon. Achter svchost schuilen verschillende services. Ik heb ook al verwezen naar Process Explorer waarmee wel zichtbaar word wat er allemaal in een svchost process draait. Vandaaruit kan er dan verder gekeken worden. Nu is gewoon niets bekend, laat TS eerst een achterhalen wat er vanuit svchost allemaal gestart is.

@TS: voer het commando 'tasklist /svc' eens uit en plak het resultaat hier.

[ Voor 56% gewijzigd door Dysmael op 17-02-2010 20:53 ]

Acties:

djexplo

Simpel installeer process explorer, en kijk wat voor services / drivers er door svchost worden gehost ...

[ Voor 5% gewijzigd door djexplo op 17-02-2010 20:53 ]

'if it looks like a duck, walks like a duck and quacks like a duck it's probably a duck'

woensdag 17 februari 2010 20:54

Acties:

woensdag 17 februari 2010 20:54

BEATI PAVPERES SPIRITV

RolfLobker schreef op woensdag 17 februari 2010 @ 20:48:
190x is zeker abnormaal maar volgens mij was ik diegene die in de mond nam dat er 190x svchost gestart was. TS heeft dat niet beaamt. Ik heb het idee dat hij 190 MB aan geheugengebruik bedoeld.

Oops, inderdaad, ik was blijkbaar de draad kwijt. De TS spreekt enkel van 190... something. En waarschijnlijk 190 Mb (hopen we toch).

We zullen moeten wachten op meer info van de TS.

Edit: het multitasken gaat me slecht af, TS had al gereageerd.

GabrielZ schreef op woensdag 17 februari 2010 @ 20:33:
ik heb niet 190x svchost maar, hij loopt constant op.. als ik de pc opstart, gebruikt hij 100mb en het loopt maar op de pc staat nu een uur aan en het is nu al 200mb..
in procesbeheer staat er nu 12 svchost onder elkaar..?

de virusscanners etc vinden nu totaal niks meer..

Mja, da's niet abnormaal. Als er echt iets is ga je inderdaad tasklist /svc (cf. RolfLobker) moeten uitvoeren vanop een command prompt. Om gemakkelijk te plakken, doe

code:

1	tasklist /svc >c:\task.txt

In je C: staat dan een tekstdocumentje met alle info.

[ Voor 41% gewijzigd door YellowOnline op 17-02-2010 20:58 ]

Acties:

woensdag 17 februari 2010 21:00

djexplo schreef op woensdag 17 februari 2010 @ 20:52:
Simpel installeer process explorer, en kijk wat voor services / drivers er door svchost worden gehost ...

RolfLobker schreef op woensdag 17 februari 2010 @ 19:45:
[...]

Svchost an sich zegt niets. Je moet eerst kijken naar de services die daarin draaien. Die kan je zichtbaar maken met o.a. Process Explorer
[...]

Dat ligt dus aan het process wat daarin geladen is.

Acties:

woensdag 17 februari 2010 21:05

Topicstarter

kijk..

Acties:

woensdag 17 februari 2010 21:23

BEATI PAVPERES SPIRITV

GabrielZ schreef op woensdag 17 februari 2010 @ 21:00:
kijk..

[afbeelding]

Ik zie niets speciaal behalve wat tune-programmaatjes die resources opeten. Om te zien welke SvcHost het geheugen belast moet je wel de PID opzoeken in Task Manager.

Je kan altijd dit eens proberen trouwens:

I had the same problem with svchost kicking off and using up to 99% of my CPU time. This was happening 3-4 times a day at work and making it difficult to get things done. Once it started it would be 15 mins or more before it would stop by itself. I started killing the process in taskmgr but I'd have to do it each time. Finally I called my company's helpdesk (I work for a large computer software company). Their first suggestion was to run virus and spyware checkers to eliminate that as a probable cause. And yes, they found nothing. So then they sent me instructions that could fix the problem. Lo and behold, it worked. I'm not saying this will work for everyone as it seems there are several reasons this could be happening. However, it won't hurt your system so it's worth giving it a shot. I would still recommend backing up for your system before trying.

1) Open a dos shell window.
Click “Start/Run”, type in “cmd.exe” and hit enter.
2) Stop the Windows Management service "net stop winmgmt"
3) Delete the Repository folder "rd /s /q c:\windows\system32\wbem\Repository\"
4) Restart the Windows Management service "net start winmgmt"
5) Recompile all the "Managed Object Format" files (*.mof,*.mfl)
(a) "cd /d c:\windows\system32\wbem\"
(b) "for %i in (*.mof,*.mfl) do Mofcomp.exe %i"
6) Verify the folder "c:\windows\system32\wbem\Repository\" has been recreated. If not, restore your system and try again or look for another solution. :-)

It only takes 5 mins to do. I hope this does the trick for you.

Iets dat ik trouwens zelf nog nooit gedaan heb. Eigen risico

[ Voor 82% gewijzigd door YellowOnline op 17-02-2010 21:11 ]

Acties:

woensdag 17 februari 2010 21:28

* Dysmael wijst GabrielZ op de tip van YellowOnline om een tekstbestand te gebruiken. Op zo'n wijze een tasklist-output te plakken is nogal.... omslachtig, traag, lastig en niet slim.

Ik zie: TuneUputillities, Sup_smartram, Hitmanpro35_x64 en nog wat dingen die ik niet kan plaatsen. Dat lijkt mij op software wat vooral voor problemen zorgt in plaats van ze oplost.

Daarnaast weinig bijzonders in svchost inderdaad. Volgende stap word Process Explorer draaien en kijken welke service zoveel cputijd opvraagt. Grote kans dat het gewoon een baggere driver is of slechte applicatie. Je kan ook de services stuk voor stuk stoppen en het resultaat bekijken (net stop 'naam van service' - bijvoorbeeld: net stop UxTuneUp.

Of beter, plak dit eens in een batchbestand en voer dat uit:

NET STOP AudioEndpointBuilder
NET STOP TrkWks
NET STOP SysMain
NET STOP PcaSrv
NET STOP ProfSvc
NET STOP SEND
NET STOP ShellHWDetection
NET STOP UxTuneUp
NET STOP TuneUp.UtillitiesSvc
NET STOP WerSvc

PS. Volgens mij mist er heel veel output dus plak toch eens een tekstresultaat

Acties:

woensdag 17 februari 2010 21:39

BEATI PAVPERES SPIRITV

RolfLobker schreef op woensdag 17 februari 2010 @ 21:23:
TuneUputillities, Sup_smartram, Hitmanpro35_x64 en nog wat dingen die ik niet kan plaatsen. Dat

TuneUp is een onderhoudsprogramma, Smart RAM is een programma dat RAM zou vrijmaken (how ironic) en Hitman ken je vast wel: een bagger anti-malwaretool.

Allemaal programma's die geen malware zijn maar mijns inziens meer kwaad dan goed doen aan een net systeem.

Acties: