4
Problem mit svchost.exe
"svchost.exe*32" im Userkontext sehr verdächtig, verursacht bis zu 25% Systemauslastung pro Instanz
Hallo allerseits,
auf einem Terminalserver (Dell R270 mit Server 2008 R2) bechweren sich seit Kurzem die Benutzer über eine arg gebremste Performance. Ein Blick in den Taskmanager zeigt mir mehrere Prozesse "svchost.exe*32" (aus Syswow64), die nicht als System, Lokal oder Netzwerkdienst laufen, sondern in verschiedenen Usersessions. Das, so habe ich mich belesen, ist höchst verdächtig.
Ein manuelles "Abschießen" dieser Prozesse lässt die CPU-Auslastung des Servers wieder auf die gewohnten 10...15 Prozent sinken und behebt die Performanceprobleme. Zu dieser Zeit geöffnete Anwendungen sind davon nicht sichtbar betroffen. Wir konnten noch nicht herausfinden, welche Anwendung dafür verantwortlich ist.
Nun habe ich bereits an die 10...15 der verschiedensten Viren- und Malwarescanner über das System laufen lassen, aber ich kann den Urheber bzw. den parasitären Prozess einfach nicht finden, der da auf svchost.exe "reitet". Die Software "svchost explorer" (Neuber) findet zwar genau diese Prozesse verdächtig, kann aber nicht auf die Prozessstruktur zugreifen und liefert keine weiteren Infos. Das Progrmm meint "starten sie es im Adminmodus", aber ich bin als Admin angemeldet, auch ein explizides "als Admin ausführen" hilft nicht. Da kapselt sich etwas sehr geschickt.
Wie finde ich den Urheber für das Problem heraus?
Danke für Tips, Frank
auf einem Terminalserver (Dell R270 mit Server 2008 R2) bechweren sich seit Kurzem die Benutzer über eine arg gebremste Performance. Ein Blick in den Taskmanager zeigt mir mehrere Prozesse "svchost.exe*32" (aus Syswow64), die nicht als System, Lokal oder Netzwerkdienst laufen, sondern in verschiedenen Usersessions. Das, so habe ich mich belesen, ist höchst verdächtig.
Ein manuelles "Abschießen" dieser Prozesse lässt die CPU-Auslastung des Servers wieder auf die gewohnten 10...15 Prozent sinken und behebt die Performanceprobleme. Zu dieser Zeit geöffnete Anwendungen sind davon nicht sichtbar betroffen. Wir konnten noch nicht herausfinden, welche Anwendung dafür verantwortlich ist.
Nun habe ich bereits an die 10...15 der verschiedensten Viren- und Malwarescanner über das System laufen lassen, aber ich kann den Urheber bzw. den parasitären Prozess einfach nicht finden, der da auf svchost.exe "reitet". Die Software "svchost explorer" (Neuber) findet zwar genau diese Prozesse verdächtig, kann aber nicht auf die Prozessstruktur zugreifen und liefert keine weiteren Infos. Das Progrmm meint "starten sie es im Adminmodus", aber ich bin als Admin angemeldet, auch ein explizides "als Admin ausführen" hilft nicht. Da kapselt sich etwas sehr geschickt.
Wie finde ich den Urheber für das Problem heraus?
Danke für Tips, Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 201298
Url: https://administrator.de/contentid/201298
Printed on: April 19, 2024 at 14:04 o'clock
4 Comments
Latest comment
Hi.
Starte process explorer, der verrät mehr über die einzelnen Instanzen der svchost.exe
Starte process explorer, der verrät mehr über die einzelnen Instanzen der svchost.exe
Hi,
schau dir das mal an: http://www.neuber.com/free/svchost-analyzer/deutsch.html
Und schau, ob da was bei herauskommt. (Habe das Tool noch nicht getestet. Fand es nur interessant und hab es mir beiseite gelegt)
greetz
ravers
schau dir das mal an: http://www.neuber.com/free/svchost-analyzer/deutsch.html
Und schau, ob da was bei herauskommt. (Habe das Tool noch nicht getestet. Fand es nur interessant und hab es mir beiseite gelegt)
greetz
ravers
Ich glaube, ich habe das Problem gelöst, ohne allerdings wirklich die Ursache zu finden - aber die Symptome sind weg.
Ich habe beide svchost.exe (einmal aus System32 und einmal aus SysWOW64) dem Besitzer "Trustedinstaller" entrissen (auf Administratoren gesetzt) und bei den Rechten den normalen Benutzern sämtliche Berechtigungen entzogen. Nun ist erstmal Ruhe und beschwert, dass irgendwas nicht mehr geht, hat sich auch niemand ...
Ich habe beide svchost.exe (einmal aus System32 und einmal aus SysWOW64) dem Besitzer "Trustedinstaller" entrissen (auf Administratoren gesetzt) und bei den Rechten den normalen Benutzern sämtliche Berechtigungen entzogen. Nun ist erstmal Ruhe und beschwert, dass irgendwas nicht mehr geht, hat sich auch niemand ...
Hi.
Antworte doch mal auf die Vorschläge.
...und beschwert, dass irgendwas nicht mehr geht, hat sich auch niemand ...
Das darf nicht die Bestätigung sein, dass dieser Schritt gut ist. Unter Umständen schlägt dieser Workaround noch Blasen, ich würde mich um eine Lösung bemühen.Antworte doch mal auf die Vorschläge.
