# svhost.exe - virus?



## Paradizogeeko (16. Januar 2004)

Moin erstmal,

wie dem Topic zu entnehmen ist, habe ich ein Problem mit der svhost.exe.
Ich nutze WInXP Pro. mit dem Servicepack 1.
Als Virenscanner habe ich Antivir.

Seit gestern abend nimmt diese Datei/Prozess meist 99 Prozent meiner CPU-Leistung in Anspruch.
Dies macht sich meist bei Spielen (FPS) und bei Photoshop etc. bemerkbar - alles ist langsamer.

Nur wieso?

Ich könnte mir vorstellen, dass es ganzeinfach ein Backdoor oder Virus ist, der die Datei benutzt.

... hilfe 

//edit


----------



## Paradizogeeko (16. Januar 2004)

Okay, ich hab nun herausgefunden, dass es ein Wurm ist.
Nun stellt sich für mich die Frage, wie ich diesen Wurm beseitigen kann, mein Virenscanner hat nichts gefunden.

- iku



P.S.: Da benutz ich EINMAL den Internet Explorer anstatt von Opera (wirklich nur einmal) und schon hat man ein Virus, danke M$


----------



## chicolino (16. Januar 2004)

Hatte ich selbst auch mal......

Starte deinen Rechner im abgesicherten Modus.
Lösche die Datei und boote neu und schon ist der Spuk weg.

Chicolino


----------



## tofa (16. Januar 2004)

*SVCHOST.EXE ist weder Virus noch Wurm!*

Hallo zusammen,

SVCHOST.EXE ist ein "Generic Host Process for Win32 Services":
Dieses Programm arbeitet als eine Art Host für andere
mittels  dll's gestartete Prozesse. Richtig ist, dass SVCHOST.EXE von diversen Digitalschädlingen missbraucht wird. Besteht der Verdacht, dass ein Wurm die Datei gepacht hat, sollte sie durch eine sauber ersetzt - jedoch keineswegs gelöscht werden.


Viele Grüße wünscht,


----------



## Paradizogeeko (16. Januar 2004)

Also von einem Freund die "unfizierte" svhost.exe zusenden lassen und austauschen?
Ich denke sie wird nur von einer anderen Datei genutzt...


----------



## chicolino (16. Januar 2004)

@Tofa

hast recht. Ist eine notwendige Systemdatei.

Man kann Sie allerdings bedenkenlos löschen, da
Windows Sie beim neubooten selbst wieder herstellt.
Ist zumindest bei mir so gewesen. win2000.

Chicolino


----------



## Mythos007 (16. Januar 2004)

*Wichtige Information bezüglich der svhost.exe*

Die *svhost.exe* wird von einem *Trjojaner* gestartet und
dient dazu den befallenen PC mittels fernsteuerung über das 
IRCnetzwerk komplett zu kontrolleiren, schlimmer noch, die
Systemauslastung von 98%, die auf Deinem Screenshot er-
sichtlich ist, lässt vermuten, dass sich zu diesem Zeitpunkt
sogar jemand an Deinem Rechner zuschaffen gemacht hat!
*
Also schleunigst Gegenmaßnahmen ergreifen!*

Informationen zu diesem Thema findest Du hier:
 *Wichtige Virusinformationen*
 *Anleitung um den Trojaner zu entfernen*
Ergänzende Informationen zum entfernen des Trojaners


> You will also need to edit the following registry entries, if they are present.
> 
> At the taskbar, click Start|Run. Type 'Regedit' and press Return. The registry editor opens.
> 
> ...



@ chicolino - Man beachte die Schreibweise... *Svchost.exe* ist eine
wichtiger Systemdienst aber *Svhost.exe* ist der Beweis für die Existens
des Trojaners!


----------



## Paradizogeeko (16. Januar 2004)

Danke euch allen, der Kaiser lässt ausrichten, dass die Gefahr gebannt sei.

Soll heissen, dass ich bis gerade nicht gecheckt hab, dass es eine svhost.exe und eine svchost.exe gibt 
Hab die svhost.exe gelöscht und in der regedit aus dem Autostart genommen.

- iku


----------



## McDeath (19. Januar 2004)

ich hab das gleiche problem.
ich habs aber einfach mit meiner firewall 
geblockt und es geht trotzdem noch alles wie immer.
iss das ausreichend


lg McD


----------



## dfd1 (19. Januar 2004)

> _Original geschrieben von McDeath _
> *
> iss das ausreichend*


löschen ist schon sauberer... zumindest aus Autostart


> *lg McD *


Gruss dfd1


----------



## macronet (22. Februar 2004)

*svchost.exe*

hi all,

die fragen/antworten zu diesem thema sind sehr hilfreich. allerdings zu spät gelesen, denn ich habe in meiner regedit versehentlich die svchost.exe statt die svhost.exe komplett gelöscht, mit dem ergebnis, das sämtliche netzwerkeinträge beim neustart verschunden sind. benutze w2k. wie kann ich, zumindest die "neue netzwerkeinträge", wieder erzeugen ?

danke u. gruß
macronet


----------

