Andauerndes Problem mit svchost.exe - hohe Auslastung

[cyphem 10]

Hallo Forum.

 

Ich hoffe ich bin hier nicht fehl am Platze, aber leider weiß ich nicht mehr weiter und hoffe hier ein paar gute Ratschläge zu bekommen.

 

Folgendes: Auf dem Rechner meiner kleinen Schwester (Win2000 Prof, SP 2) hat sich vor ein paar Tagen Sasser eingenistet. Nachdem ich die Firewall (tiny) rekonfiguriert habe, Stinger, Antivir, sysclean, HiJackThis und div. andere Programme über das System hab laufen lassen und einen Windows-Patch installiert habe (KB835732) bin ich nun auf ein Problem gestoßen, das sich nicht beseitigen lässt.

(Spybot S&D und Ad-Aware haben übrigens auch noch einiges bereinigt)

Bei jedem Neustart geht die Systemauslastung nach kurzer Zeit auf 100% hoch und bleibt auch dort. Quelle ist die svchost.exe (nur eine, aber die erste Instanz). Bei genauerem Hinsehen per ProcessExplorer (von sysinternals.com) findet sich als Verursacher der hohen Auslastung die RPCRT4.dll.

 

Dieser Subprozess lässt sich auch killen und die Auslastung geht auf normale Werte runter. Leider kann das ja keine Lösung sein, da diese Datei ja sicherlich auch nicht unnötig mitgeladen wird. Google bringt mir soweit keine brauchbaren Ergebnisse.

 

 

Also was tun? Die Virenscanner finden nichts mehr (Alle Sasser-Varianten, Agobot und Psyme Bestandteile sind angeblich weg) und auch die Spywarescanner sind fertig.

 

Ich bin für jeden Ratschlag dankbar!

 

PS: Bei Bedarf kann ich gerne noch das HiJackThis-Log mitposten

[saracs 10]

hi und willkommen on board ;)

 

hast du dir die datei mal angesehen? ist es noch die orginal datei? wenn nicht kopier die orginal datei drüber und schau mal ob der fehler noch auftaucht :wink2:

 

was noch wichtig wäre: das eventlog! stehen dort irgendwelche einträge?

 

gruss saracs

 

ps: einen befallenen rechner würde ich immer alsbald möglich komplett neu installieren ;)

[nurcool_de 10]

Ich würde als erstes mal im TaskManager schauen ob da nicht vielleicht eine Blaster.exe zu sehen ist. Falls nicht würde ich in der Regestry [start/Ausführren/Regedit/ok] im Schlüssel HKLM/SOftware/Microsoft/Windows/CurrentVersion/Run schauen ob da was zu finden ist...

[Frank 10]

Hi!

 

Hab das selbe Problem hinter mir, das verursacht der Remote Procedure Call, das ist die dll, durch sasser, blaster o.ä. wird da irgendwas dran verpfuscht. Selbst wenn du durch diverse Programme den virus runter hast (und das hast du hoffentlich) funzt die Datei nicht mehr ordentlich. Leider kannst du die dll im laufenden Betrieb nicht tauschen...

 

Da hilft nur neu aufsetzen, oder aber mittels Tool das system "ohne system" starten und dann tauschen, so hab ichs gemacht.

[cyphem 10]

Das Problem hat sich von selbst gelöst, dazu aber gleich mehr.

 

@nur_cool: Wie ich oben schon geschrieben habe ist kein Virus mehr drauf, kein Programm findet noch was und die naheliegendste Möglichkeit in der registry hab ich ganz zu Anfang schon bedacht. Trotzdem danke.

 

@Frank: Die DLL zu tauschen ist mir auch in den Sinn gekommen und wäre wohl auch meine letzte Möglichkeit gewesen überhaupt noch aktiv Einfluss zu nehmen.

 

Aber glücklicherweise läuft wieder scheinbar alles normal. Nach dem Post hier hab ich einfach mal testweise mit dem ProcessExplorer die DLL abgeschossen und danach neugestartet. Seitdem hat die svchost bzw. die DLL keine Probleme mehr gemacht und bis auf ein paar Packete von außen, die auf der Firewall auflaufen ist von den Viren / Spyware nichts mehr zu merken.

 

Trotzallem Vielen Dank für die Ratschläge.

 

PS: Ich weiß nicht ob es geholfen hat, aber neben dem Überprüfenlassen von den o.g. Programmen habe ich noch den Tip aus einem MS-Security Artikel angewandt um Sasser den Wind aus den Segeln zu nehmen. Den Link zu diesem Artikel weiß ich nicht mehr, aber es soll angeblich bewirken das der Wurm sich nicht weiter auf dem System einnisten kann.

Dazu einfach 'Start - Ausführen' und 'echo dcpromo > %systemroot%\system32\debug\dcpromo.log' eingeben. Danach die erstellte Datei schreibschützen.

Vielleicht nützt es ja was... bis denn

 

cyphem