PDA

Vollständige Version anzeigen : svchost auf 100% - liegt an den automatischen updates


Leibi
08.05.2007, 15:41
Hallo Leute,
wir haben bei uns in den letzten Wochen vermehrt folgendes Problem festgestellt:

Die Rechner sind kaum zu bedienen und extrem langsam. Teilweise kann man nicht mal mehr den Taskmanager öffnen.

Wenn man dies dann doch mal schafft sieht man, das (einer der vielen) svchost.exe auf 80-100% CPU-Last hängt (Speicher Nutzung kaum Nennenswert)
Da die svchost.exe in so ziemlich allem mit drin hängt ist hier die Fehlersuche auch recht schwer.

Wir haben auf verdacht mal die automatischen updates deaktiviert und schau da, der Fehler tritt danach bei keinem System mehr auf. Es scheint, als würde irgend ein Update diesen Fehler verursachen.

Das komische ist, das der Fehler nur sehr sporadisch auftriit, aber immer mit den selben Symptomen und dem selben Lösungsweg.



Hat von euch jemand auch so etwas beobachtet, oder gar eine offizielle Lösung dafür?

<< dp >>
08.05.2007, 18:55
Scheint ein bekanntes Problem zu sein, Google (http://www.google.de/search?hl=de&q=svchost+100%25&btnG=Google-Suche&meta=) findet dazu einiges. Zwar keine konkreten Lösungsvorschläge, doch der Tenor der ganzen Hilferufe weist auf einen Virenbefall hin. Hast du mal den Rechner im abgesicherten Modus nach Viren & Co. durchsucht? Dieser Thread (http://www.computerhilfen.de/hilfen-17-26175-0.html) ist auch ziemlich interessant, vielleicht hilft dir das ja weiter. Welches Betriebssystem ist denn auf dem Rechner?

Leibi
09.05.2007, 09:41
Hi,
also Virenbefall kann ich guten gewissens ausschließen. Und das zu 100%.

Die betroffenen Rechner haben alle Windows XP und SP2.


Da in dem von dir genannten Thread auch nur davon ausgegangen wird das es sich um eine Sicherheitslücke handelt die mit einem Patch behoben wird, hilft mir die auch nicht weiter.
Die Rechner sind alle auf dem neuesten Stand (weil Standardmäßig die automatischen updates aktiviert sind).

Mattes
10.05.2007, 18:00
Hi Leibi,

svchost auf 100% - liegt an den automatischen updates
also Virenbefall kann ich guten gewissens ausschließen. Und das zu 100%.

Mit solchen Aussagen wäre ich vorsichtig, zumal es den den Blickwinkel auf das Problem einschränkt.

Welche Prozesse werden den nicht mehr ausgeführt wenn du die Updates deaktivierst? Hast du die Kisten mit drei vier verschiedenen Scannern gescannt? Vielleicht ein neuer Virus, der noch nicht gefunden werden kann?

Laß Dir doch mal anzeigen, welche Prozesse das Abbild svchoost erzeugen, diese Prozesse mußt Du dann durchforsten.

Start>Ausführen>cmd
tasklist /svc

HTH, Mattes

Leibi
11.05.2007, 10:16
Hi,
also Problem ist "gelöst" bzw zumindest erkannt.
Man schaue hier: http://support.microsoft.com/kb/916089

Das tolle an der Sache ist, das Microsoft dafür bereits 2 Patches raus hat und einen dritten in Arbeit. Behoben wurde das Problem bei uns nun so, das über ne GPO generell die automatischen Updates deaktiviert wurden, bis ein entsprechendes (akzeptables) Work-Arround von MS besteht.

Um hier noch etwas mehr Klarheit rein zu bringen:

Ich konnte Viren deshalb ausschließen, da sämtliche Rechner hinter mehreren Firewalls und Virenscannern sitzen. Es ist unheimlich unwahrscheinlich das hier ein Virenbefall besteht. Falls doch hätten, ca 5 Virenscanner nichts gefunden :)

Das Problem an sich, löst sich auch von selbst. Allerdings sind die PCs auf denen es auftritt für ca 3 Stunden (oder länger) nicht zu bedienen. Das update Läuft durch, braucht aber entsprechend ewig. Wenn es der Rechner dann geschafft hat, funktioniert auch alles.

Als Fazit:

Wer Viren ausschließen kann, sollte entweder viel Geduld mitbringen, einen der Hotfixes von MS ausprobieren oder eben die automatischen Updates deaktivieren (wobei wir hier dann wieder beim Thema Geduld wären) :)


Danke euch auf jeden Fall für eure Tipps und Hinweise.

<< dp >>
11.05.2007, 10:41
[OT]
... ist es nicht so, dass die meisten Viren nicht von außen, sondern von innen kommen? Die IT-Systeme sind sicher, die Mitarbeiter nicht - vertrauter Feind ;) :D

Leibi
14.05.2007, 10:21
Wohl war :)

Aber dann hätten viele (wohlerzogene) User in Abteilungen die nix miteinander zu tun haben den selben Virus bekommen (und das sehr sporadisch verteilt). Und selbst wenn ein Virus nicht übers Netz kommen würde, würde er wahrscheinlich von einem der zwei lokalen Scanner entdeckt worden. :p

Klaus Kublenz
31.05.2007, 15:48
Wer es noch nicht selbst gelesen hat: c't berichtet im Heft 12/07 auf Seite 46 über das hier geschilderte Phänomen und verweist auf einen Microsoft KB-Artikel unter der Knowledge-Base-Nummer KB927891 http://support.microsoft.com/kb/927891/EN-US/ und den dort verfügbaren Patch http://www.microsoft.com/downloads/details.aspx?FamilyID=7a81b0cd-a0b9-497e-8a89-404327772e5a&DisplayLang=de