When working with Windows operating systems, it’s common to encounter error messages that reference specific hard disk volumes, such as \Device\HarddiskVolume3
. These references may seem confusing at first, but they’re actually quite simple to understand and use.
In this article, we’ll explain what these references mean and provide a comprehensive guide on how to tell which drive each hard disk volume refers to in Windows 11 or Windows 10. The step-by-step instructions will enable you to locate the specific device or volume path needed to resolve any file access events issues.
Understanding Hard Disk Volume References
Before we dive into how to find hard disk volume references in Windows, it’s important to understand what they are and why they’re used.
Also see: How to Hide a Drive in Windows 11
In Windows, hard disk volumes are used to organize data on physical hard drives. Each volume is assigned a unique reference, such as:
- \Device\HarddiskVolume3
- \Device\HarddiskVolume4
- \Device\HarddiskVolume5
- \Device\HarddiskVolume1
- \Device\HarddiskVolume2
- \Device\HarddiskVolume6
This reference is used to identify the volume and access its contents.
When troubleshooting issues with Windows, you may encounter error messages that reference a specific hard disk volume. For example, you might see an error message like this:
\Device\HarddiskVolume3\Windows\System32\svchost.exe is missing or corrupted
This error message is telling you that the Windows operating system can’t find the svchost.exe
file on the third hard disk volume. To fix the issue, you’ll need to locate the volume and the file.
Related issue: Service Host Local System (svchost.exe) High CPU, Disk or Memory Usage
How to tell which drive is \Device\HarddiskVolume3 or other volumes?
Now that we understand what hard disk volume references are, let’s take a look at how to find the hard disk volume number and tell which drive each volume is referring to in Windows 11/10.
Method 1: Listing all drive letters and hard disk volume numbers using PowerShell
This method provides you with a comprehensive list of all device names and their corresponding volume paths on your local machine. It leverages PowerShell to query the Windows Management Instrumentation (WMI) class Win32_Volume
for the drive letter and then uses the QueryDosDevice
function from the Kernel32 module to obtain the device path.
To list all the drive letters and their corresponding hard disk volume numbers on your Windows system, follow these steps:
- Open Notepad and paste the following PowerShell script:
$DynAssembly = New-Object System.Reflection.AssemblyName('SysUtils') $AssemblyBuilder = [AppDomain]::CurrentDomain.DefineDynamicAssembly($DynAssembly, [Reflection.Emit.AssemblyBuilderAccess]::Run) $ModuleBuilder = $AssemblyBuilder.DefineDynamicModule('SysUtils', $False) $TypeBuilder = $ModuleBuilder.DefineType('Kernel32', 'Public, Class') $PInvokeMethod = $TypeBuilder.DefinePInvokeMethod('QueryDosDevice', 'kernel32.dll', ([Reflection.MethodAttributes]::Public -bor [Reflection.MethodAttributes]::Static), [Reflection.CallingConventions]::Standard, [UInt32], [Type[]]@([String], [Text.StringBuilder], [UInt32]), [Runtime.InteropServices.CallingConvention]::Winapi, [Runtime.InteropServices.CharSet]::Auto) $DllImportConstructor = [Runtime.InteropServices.DllImportAttribute].GetConstructor(@([String])) $SetLastError = [Runtime.InteropServices.DllImportAttribute].GetField('SetLastError') $SetLastErrorCustomAttribute = New-Object Reflection.Emit.CustomAttributeBuilder($DllImportConstructor, @('kernel32.dll'), [Reflection.FieldInfo[]]@($SetLastError), @($true)) $PInvokeMethod.SetCustomAttribute($SetLastErrorCustomAttribute) $Kernel32 = $TypeBuilder.CreateType() $Max = 65536 $StringBuilder = New-Object System.Text.StringBuilder($Max) Get-WmiObject Win32_Volume | ? { $_.DriveLetter } | % { $ReturnLength = $Kernel32::QueryDosDevice($_.DriveLetter, $StringBuilder, $Max) if ($ReturnLength) { $DriveMapping = @{ DriveLetter = $_.DriveLetter DevicePath = $StringBuilder.ToString() } New-Object PSObject -Property $DriveMapping } }
- Save the Notepad file with a .ps1 extension, such as List-drives-and-hard-disk-volumes.ps1.
- Run the
List-drives-and-hard-disk-volumes.ps1
script from PowerShell to list all drive letters and their corresponding hard disk volume paths on your Windows 11 or Windows 10 system.
Recommended resource: Run CMD, PowerShell or Regedit as SYSTEM in Windows 11
To run the List-drives-and-hard-disk-volumes.ps1 script from PowerShell, follow these steps:
- Open PowerShell with administrative privileges: Right-click on the Start button or press
Win + X
and then click on “Windows PowerShell (Admin)” or “Windows Terminal (Admin)” if you are using Windows Terminal. Click “Yes” on the User Account Control (UAC) prompt to grant administrative access. - Change the execution policy (if needed): By default, PowerShell may not allow you to run scripts due to its restrictive execution policy. To change the execution policy, type the following command and press Enter:
Set-ExecutionPolicy RemoteSigned
When prompted, type
Y
and press Enter to confirm the change. This command allows you to run scripts that you created or downloaded from the internet, as long as they are signed by a trusted publisher. - Navigate to the script’s location: Use the
cd
command to navigate to the directory where you saved the “List-drives-and-hard-disk-volumes.ps1” script. For example, if you saved the script in the Desktop directory, type the following command and press Enter:cd C:\Users\username\Desktop
Replace the username with your actual user name in your Windows system.
- Run the script: Type the following command and press Enter to run the
List-drives-and-hard-disk-volumes.ps1
script:.\List-drives-and-hard-disk-volumes.ps1
The script will execute and display the device names and their corresponding volume paths for all the drives on your local machine.
- Set the execution policy back to its default value: After running the script, it’s recommended to set the execution policy back to its default value. To do this, type the following command and press Enter:
Set-ExecutionPolicy Restricted
Remember, you need to have administrative privileges to run the script, as it accesses system-level information.
Useful tip: How to Merge Two Drives in Windows 11
Here’s a more detailed explanation of what the script does:
- The script first creates a dynamic assembly called ‘SysUtils’ and defines a P/Invoke method for calling the
QueryDosDevice
function from the Kernel32 module. - It sets the maximum length of the
StringBuilder
object to 65536, which allows it to store the device path information. - The script then uses
Get-WmiObject
to query theWin32_Volume
class for drive letter information. It filters the results to include only objects with a drive letter. - For each drive letter, the script calls the
QueryDosDevice
function with the drive letter as the input. The function returns the length of the device path string, which is then used to create an object containing the drive letter and device path. - Finally, the script outputs the device letter and device path for each drive.
Similar problem: Hard Drive Doesn’t Show Up After Clone in Windows 11
Method 2: Getting the hard disk volume number from a specific drive letter using PowerShell
This method allows you to find the device path for a specific drive letter by using a similar approach as Method 1. However, instead of listing all the device names and their corresponding volume paths, this method prompts you for a single drive letter and returns its device path.
To display the device path for a given device name (drive letter), use the following PowerShell script:
- Open Notepad and paste the following PowerShell script:
$driveLetter = Read-Host "Enter Drive Letter:" Write-Host " " $DynAssembly = New-Object System.Reflection.AssemblyName('SysUtils') $AssemblyBuilder = [AppDomain]::CurrentDomain.DefineDynamicAssembly($DynAssembly, [Reflection.Emit.AssemblyBuilderAccess]::Run) $ModuleBuilder = $AssemblyBuilder.DefineDynamicModule('SysUtils', $False) $TypeBuilder = $ModuleBuilder.DefineType('Kernel32', 'Public, Class') $PInvokeMethod = $TypeBuilder.DefinePInvokeMethod('QueryDosDevice', 'kernel32.dll', ([Reflection.MethodAttributes]::Public -bor [Reflection.MethodAttributes]::Static), [Reflection.CallingConventions]::Standard, [UInt32], [Type[]]@([String], [Text.StringBuilder], [UInt32]), [Runtime.InteropServices.CallingConvention]::Winapi, [Runtime.InteropServices.CharSet]::Auto) $DllImportConstructor = [Runtime.InteropServices.DllImportAttribute].GetConstructor(@([String])) $SetLastError = [Runtime.InteropServices.DllImportAttribute].GetField('SetLastError') $SetLastErrorCustomAttribute = New-Object Reflection.Emit.CustomAttributeBuilder($DllImportConstructor, @('kernel32.dll'), [Reflection.FieldInfo[]]@($SetLastError), @($true)) $PInvokeMethod.SetCustomAttribute($SetLastErrorCustomAttribute) $Kernel32 = $TypeBuilder.CreateType() $Max = 65536 $StringBuilder = New-Object System.Text.StringBuilder($Max) $ReturnLength = $Kernel32::QueryDosDevice($driveLetter, $StringBuilder, $Max) if ($ReturnLength) { Write-Host "Device Path: "$StringBuilder.ToString() } else { Write-Host "Device Path: not found" } Write-Host " "
- Save the Notepad file with a .ps1 extension, such as Get-device-path-from-drive-letter.ps1.
- Run the
Get-device-path-from-drive-letter.ps1
script from PowerShell. When prompted, enter the drive letter for which you want to retrieve the device path.
To learn how to run the .ps1 PowerShell script you’ve created, follow the instructions as stated in the previous method.
Here’s an overview of what the script does:
- As in Method 1, the script creates a dynamic assembly called ‘SysUtils’ and defines a P/Invoke method for calling the
QueryDosDevice
function from the Kernel32 module. - The script prompts you to enter a drive letter by using the
Read-Host
command. Make sure to enter the drive letter without a trailing backslash (e.g., “C:”, not “C:\”). - It sets the maximum length of the
StringBuilder
object to 65536, allowing it to store the device path information. - The script calls the
QueryDosDevice
function with the input drive letter. If the function is successful, it returns the length of the device path string. - If the
QueryDosDevice
function is successful, the script outputs the device path for the input drive letter. Otherwise, it displays a message indicating that the device path was not found.
Summary
These two methods provide flexible options for obtaining the hard disk volumes information in Windows 11 or 10. Method 1 is useful when you need a comprehensive list of all drive letters and their corresponding volume paths, while Method 2 is more targeted, allowing you to retrieve the hard disk volume path for a specific drive letter. Both methods use PowerShell scripts, making it easy to integrate them into your system management or troubleshooting workflows.
- Remove From My Forums
-
Question
-
Greetings can someone lend some insight thanks
Log Name: Application
Source: Microsoft-Windows-User Profiles Service
Date: 8/15/2018 4:02:34 PM
Event ID: 1530
Task Category: None
Level: Warning
Keywords:
User: SYSTEM
Computer: User-PC
Description:
Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.DETAIL —
15 user registry handles leaked from \Registry\User\S-1-5-21-4110290550-3471919552-1771245654-1000:
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\trust
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\Root
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\My
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\CAEvent Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
<System>
<Provider Name=»Microsoft-Windows-User Profiles Service» Guid=»{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}» />
<EventID>1530</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=»2018-08-15T20:02:34.540882900Z» />
<EventRecordID>30921</EventRecordID>
<Correlation />
<Execution ProcessID=»1152″ ThreadID=»3832″ />
<Channel>Application</Channel>
<Computer>User-PC</Computer>
<Security UserID=»S-1-5-18″ />
</System>
<EventData Name=»EVENT_HIVE_LEAK»>
<Data Name=»Detail»>15 user registry handles leaked from \Registry\User\S-1-5-21-4110290550-3471919552-1771245654-1000:
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\Disallowed
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\trust
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\Root
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\SmartCardRoot
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Policies\Microsoft\SystemCertificates
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\My
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\TrustedPeople
Process 112 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\S-1-5-21-4110290550-3471919552-1771245654-1000\Software\Microsoft\SystemCertificates\CA
</Data>
</EventData>
</Event>
Содержание
- Как удалить вирус svchost.exe
- Файлы svсhost — добрые и злые, или кто есть кто
- Истинный процесс
- Хакерская подделка
- Способ №1: очистка утилитой Comodo Cleaning Essentials
- Где скачать и как установить?
- Как настроить и очистить ОС?
- Вспомогательные утилиты
- Autorun Analyzer
- KillSwitch
- Способ №2: использование системных функций
- Проверка автозагрузки
- Анализ активных процессов
- Если сложно определить: доверенный или вирус?
- Профилактика
- Device harddiskvolume4 windows system32 svchost exe
- Лучший отвечающий
- Вопрос
- Ответы
- Все ответы
- Device harddiskvolume4 windows system32 svchost exe
- Все ответы
- Device harddiskvolume4 windows system32 svchost exe
- Лучший отвечающий
- Вопрос
- Ответы
- Все ответы
- Help! Маскировка процесса «svchost.exe» HarddiskVolume1
Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).
Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.
Файлы svсhost — добрые и злые, или кто есть кто
Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».
Истинный процесс
Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).
Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):
Хакерская подделка
Может находиться в следующих директориях:
Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.
Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.
Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).
Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.
Способ №1: очистка утилитой Comodo Cleaning Essentials
Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).
Где скачать и как установить?
1. Откройте в браузере comodo.com (официальный сайт производителя).
Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.
2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.
3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).
Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».
4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.
5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».
6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».
Как настроить и очистить ОС?
1. Выберите режим «Custom scan» (выборочное сканирование).
2. Подождите немного, пока утилита обновит свои сигнатурные базы.
3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).
5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.
Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.
Вспомогательные утилиты
В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.
Внимание! Утилиты рекомендуется применять только опытным пользователям.
Autorun Analyzer
Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.
Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.
KillSwitch
Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:
В случае обнаружения зловреда:
Способ №2: использование системных функций
Проверка автозагрузки
Анализ активных процессов
Кликните правой кнопкой по имени образа. В меню выберите «Свойства».
В случае обнаружения вируса:
Если сложно определить: доверенный или вирус?
Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.
Профилактика
После нейтрализации «паразита» из ОС Windows, в независимости от применённого способа удаления, просканируйте дисковые разделы лечащей утилитой Malwarebytes Anti-Malware или Kaspersky Virus Removal Tool. Проверьте работу основного антивируса: просмотрите настройки детектирования, обновите сигнатурную базу.
Источник
Device harddiskvolume4 windows system32 svchost exe
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?
Ответы
Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.
В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.
Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.
Если подобное поведение началось недавно то так же можно выполнить откат.
This posting is provided «AS IS» with no warranties, and confers no rights.
Все ответы
Похоже, какая-то программа работает некорректно.
вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-
Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
Источник
Device harddiskvolume4 windows system32 svchost exe
Судя по всему пробуждение произошло по таймеру:
Либо таймер прописан в БИОС, либо какой то софт настраивает пробуждение по таймеру. Ищите какой. Можно попробовать команду powercfg /WAKETIMERS в консоли администратора. Но в общем случае сделать ревизию установленного софта и смотреть что из них может это делать.
Вы так же не сказали какой у вас ПК. На старых ПК (5+ лет) часто были проблемы с режимами управлением питанием, в частности кривые реализации ACPI. В этом случае иногда помогает отключeние ACPI в БИОС.
This posting is provided «AS IS» with no warranties, and confers no rights.
Можно так же попробовать запретить таймеры пробуждения (но это не поможет если пробуждение настроенов BIOS):
This posting is provided «AS IS» with no warranties, and confers no rights.
Все ответы
Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).
В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.
Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE
Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.
P.S. Пожалуйста, полегче с восклицательными знаками.
This posting is provided «AS IS» with no warranties, and confers no rights.
Проверьте в диспетчере задач в дереве контролеры USB,сетевые адаптеры,устройства HID сняты ли галочки в Управления электропитанием- Разрешить выводить этот компьютер из ждущего режима и стоит ли галочка Разрешить отключение этого устройства для экономия энергии.Галочка»Разрешить выводить этот компьютер из ждущего режима» должна стоять только на Мыши и Клавиатуры.
Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).
В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.
Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE
Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.
P.S. Пожалуйста, полегче с восклицательными знаками.
This posting is provided «AS IS» with no warranties, and confers no rights.
Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).
В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.
Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE
Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.
P.S. Пожалуйста, полегче с восклицательными знаками.
This posting is provided «AS IS» with no warranties, and confers no rights.
Источник
Device harddiskvolume4 windows system32 svchost exe
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?
Ответы
Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.
В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.
Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.
Если подобное поведение началось недавно то так же можно выполнить откат.
This posting is provided «AS IS» with no warranties, and confers no rights.
Все ответы
Похоже, какая-то программа работает некорректно.
вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-
Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует
Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
Источник
Help! Маскировка процесса «svchost.exe» HarddiskVolume1
Опции темы
зверек завелся, не могу поймать за хвост.
интивирь не ловит.
svchost.exe ломится на адрес: 212.193.224.104 на все возможные порты.
в процессах AVZ на него ругается:
Обнаружена маскировка процесса 1288 c:windowssystem32svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1288, имя = «svchost.exe», полное имя = «DeviceHarddiskVolume1WINDOWSsystem32svchost. exe»
найти, где зверь запускается, не могу. в автозапуске всё просмотрел, глаза сломал
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
логи. кроме процитированного ничего подозрительного нет.
лог Hijack я приложил по правилам.
вот эта зверушка мне покоя не дает:
>>>> Обнаружена маскировка процесса 544 c:windowssystem32svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=544, имя = «svchost.exe», полное имя = «DeviceHarddiskVolume1WINDOWSsystem32svchost. exe»
не могу вычистить. в реестре такого пути нет. И это не системная переменнная. где искать?
Источник
Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost.
Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами
Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще ).
Поехали.
-
Что это за процесс SVCHOST и вирус или нет?
-
Как распознать вирус svchost и сам файл
-
Как удалить и решить проблему с SVCHOST или вирусом
-
Проверка поврежденных системных файлов в целях лечения
-
Послесловие
Что это за процесс SVCHOST и вирус или нет?
Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.
Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным).
Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.
Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.
к содержанию ↑
Как распознать вирус svchost и сам файл
Начнем с того, что системный svchost.exe обитает исключительно в папке:
- C:WINDOWSsystem32
- C:WINDOWSServicePackFilesi386
- C:WINDOWSPrefetch
- С:WINDOWSwinsxs*
Где C: — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be
Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).
Привожу несколько самых путей маскировки вирусами под этот процесс:
- C:WINDOWSsvchost.exe
- C:WINDOWSsystemsvchost.exe
- C:WINDOWSconfigsvchost.exe
- C:WINDOWSinet20000svchost.exe
- C:WINDOWSinetsponsorsvchost.exe
- C:WINDOWSsistemsvchost.exe
- C:WINDOWSwindowssvchost.exe
- C:WINDOWSdriverssvchost.exe
И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:
- svсhost.exe (вместо английской «c» используется русская «с»)
- svch0st.exe (вместо «o» используется ноль)
- svchos1.exe (вместо «t» используется единица)
- svcchost.exe (2 «c»)
- svhost.exe (пропущено «c»)
- svchosl.exe (вместо «t» используется «l»)
- svchost32.exe (в конец добавлено «32»)
- svchosts32.exe (в конец добавлено «s32»)
- svchosts.exe (в конец добавлено «s»)
- svchoste.exe (в конец добавлено «e»)
- svchostt.exe (2 «t» на конце)
- svchosthlp.exe (в конец добавлено «hlp»)
- svehost.exe (вместо «c» используется «e»)
- svrhost.exe (вместо «c» используется «r»)
- svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
- svshost.exe (вместо «c» используется «s»)
- svhostes.exe (пропущено «c» + в конец добавлено «es»)
- svschost.exe (после «v» добавлено лишнее «s»)
- svcshost.exe (после «c» добавлено лишнее «s»)
- svxhost.exe (вместо «c» используется «x»)
- syshost.exe (вместо «vc» используется «ys»)
- svchest.exe (вместо «o» используется «e»)
- svchoes.exe (вместо «st» используется «es»)
- svho0st98.exe
- ssvvcchhoosst.exe
Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.
Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.
к содержанию ↑
Как удалить и решить проблему с SVCHOST или вирусом
В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:
- Скачиваем avz, распаковываем архив, запускаем avz.exe
- В окне программы выбираем “Файл” – “Выполнить скрипт“.
- Вставляем в появившееся окно скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:WINDOWSsystemsyshost.exe прямо между », т.е получиться строки должны так:
QuarantineFile('C:WINDOWSsystemsyshost.exe','');
DeleteFile('C:WINDOWSsystemsyshost.exe');
- Жмем «Запустить«, предварительно закрыв все программы.
- Ждем перезагрузки системы
- Проверяем наличие файла
- Проводим полноценную проверку на вирусы и spyware.
Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.
Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.
к содержанию ↑
Проверка поврежденных системных файлов в целях лечения
В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути «C: -> Windows -> System32» (где диск C: — это тот, куда установлена система).
Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт «Запуск от имени администратора«.
В самой командной строке введите строку:
sfc /scannow
И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.
к содержанию ↑
Послесловие
Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.
Буду рад почитать, послушать, поддержать и помочь
- PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
- PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
- PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса
|
|
To Fix (\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE) error you need to |
|
Step 1: |
|
---|---|
Download (\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE) Repair Tool |
|
Step 2: |
|
Click the «Scan» button | |
Step 3: |
|
Click ‘Fix All‘ and you’re done! | |
Compatibility: |
\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE is commonly caused by incorrectly configured system settings or irregular entries in the Windows registry. This error can be fixed with special software that repairs the registry and tunes up system settings to restore stability
If you have \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE then we strongly recommend that you
Download (\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE) Repair Tool.
This article contains information that shows you how to fix
\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE
both
(manually) and (automatically) , In addition, this article will help you troubleshoot some common error messages related to \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE that you may receive.
Note:
This article was updated on 2023-10-03 and previously published under WIKI_Q210794
Contents
- 1. Meaning of \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE?
- 2. Causes of \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE?
- 3. More info on \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE
Meaning of \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE?
Seeing an error when you work on your computer is not an instant cause of panic. It is not unusual for a computer to encounter problems but it is also not a reason to let it be and not to investigate on the errors. Windows errors are issues that can be fixed through solutions depending on what may have caused them in the first place. Some may only need a quick fix of re-installation of the system while others may require in-depth technical assistance. It is crucial to react to the signals on your screen and investigate the problem before trying to fix it.
EXE errors occur for a number of reasons but mostly due to problems with the executable files or the EXE files. EXE is the extension of an application in Windows. Similar to the other types of files integral to your computer system, EXE files can run into errors every now and then. Some errors are common but some are hard to troubleshoot and fix.
The softwares you use and the applications required to run by the operating system use EXE files to accomplish their tasks. On that note, a PC contains a lot of EXE files, thousands maybe, that allows a high probability that an error might occur. Sometimes, EXE errors can make an impact in your computer system. Programs may stop working, or your PC can slow down. Worst case is, an EXE error can prevent you from accessing and logging into your computer.
Some issues that can cause EXE errors:
- Viruses, malware, and spyware
- Invalid, broken, corrupted or out-of-date files or drivers
- Conflicting entries in the Windows system registry
- Application Conflicts
Most computer errors are identified as internal to the server and not actually concerning the hardware or any device that can be of concerned to the user. One example is a system error where the problem violates the procedural rules. System errors are not recognized by an operating system and it notifies the user with the message, “A system error has been encountered. Please try again.”
A system error can be fatal and it happens when an operating system stops for a moment because it is in a condition where it is no longer operating safely. Some of these errors are stop error, bug check, system crash and kernel error.
Causes of \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE?
Whenever you see windows error on your screen, the easiest and safest way to fix it is to reboot your computer. Just like our bodies needing a shut eye for several minutes, our computers also need to shut down once in awhile. A quick reboot can refresh your programs and gives your computer a clean slate to start a new venture. More often than not, it also eliminates the errors you have encountered after rebooting. It is also ideal to shut down your computer once a week to completely put all unused programs to rest. However, when a reboot does not work anymore, use more advanced Windows solutions to fix your errors.
Commonly, if a type of EXE error occurs on a frequent basis there is only one thing you need to perform first before you do anything else — clean the system registry. Chances are, your Windows registry has some corrupt files that need cleaning or repairing. One thing to avoid such types of EXE errors is by using an anti-virus or similar tools. They are your best weapon to fight against EXE errors caused by malware infections.
So, how do you fix an EXE error and avoid future crashes?
- Always protect your PC with an anti-virus software program.
- Run a registry cleaner regularly to remove and repair corrupt Windows registry entries.
- Keep your PC Drivers updated.
- Make sure to use a good internet connection to download programs from the internet to ensure that they are downloaded intact and not corrupt.
- Avoid accessing suspicious websites and opening emails from unknown sources.
Corrupted system files in the Microsoft Windows system can happen and it shows in the system error reports. Though an easy solution will be to reboot your computer, the better way is to repair the corrupted files. Microsoft Windows has a System File Checker utility that enables the users to scan for any corrupted file. Once identified, these system files may be repaired or restored.
There are several ways to fix fatal system errors.
- Disable driver signature enforcement
- Use DISM command
- Replace corrupted files
- Run a SFC scan
- Repairing your registry
- Remove your recently installed drivers or application
- Install latest updates on drivers
- Roll back the drivers
More info on
\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE
RECOMMENDED: Click here to fix Windows errors and optimize system performance
I need to be certain about the state of your computer and sometimes «real life» can get in the way of our malware hunt.
Norton keeps alerting me of attacks being block by a malicious website.
The attacking Computer is: efforts can make things much worse for both of us. You can put them on a CD/DVD, external drive 205.185.216.42, 80 and the url is: www.nice-doggy.xyz/run/Updater.exe, Norton states that the Traffic description is TCP.
Do not attach logs or use code Removing malware can be unpredictable and this step can save own steps please let me know, I will not be offended. I would be happy to focus on the
If at any point you would prefer to take your many others who are waiting in line for assistance. Periodically update me on the condition of you will be sent an email once I have posted a response. Click on this then choose Immediate E-Mail notification and then Proceed and again, please do not abandon the thread. Lastly, I would like to remind you that most members here are volunteers,
a lot of heartaches if things don’t go as planned. Most often «well intentioned» (and usually panic driven!) independent Once things seem to be working your computer, and provide detail in every post.
In the upper right hand corner of the topic you will see the button. in order to provide appropriate and effective steps for you to take. Please do not run any tools or take any steps other than
or a pen drive, anywhere except on the computer. end with some additional information on how to stay malware-free. boxes, just copy and paste the text. I will give an «all-clean» message at the very those I will provide for you while we work on your computer together.
an intrusion attempt by 202.157.171.207 was blocked. Application path \DEVICE\HARDDISKVOLUME2\WINDOWS\SYST…
Again, use the arrow keys to select Microsoft Windows booting into Safe Mode can be found here
During the boot process, you may Safe Mode written in the corners of your screen. Application path \DEVICE\HARDDISKVOLUME2\PROGRAM FILES\ MOZILLA FIREFOX\FIREFOX.EXE on my intrusion attempt by 85.12.46.159 was blocked.
it to pass.
I have Norton, and I see repeated attempts computer.I ran the preparation before setting up the topic. Application path \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE or an XP.Hit Enter.Your computer will proceed to booting into Safe Mode.
Your computer should boot like usually, except with via an intrusion attempt by 202.157.171.207 was blocked. Select OK to choose Safe mode.Additional instructions on Simply wait for see random code go past your screen.
C:\Windows\system32\svchost.exe Won’t Go Away!
If your antivirus detects them as malicious, patient with me. Please do not run any tools other than the life like everyone and I cannot be here 24/7. Only one of them will run on click Yes to disclaimer. If you are aware that there is this kind clean and do not contain any malware.
Some of these tools can ones I ask you to, when I ask you to. I tried all those steps in your guide but still i get these I have noticed that it now takes longer but it has promised me that it wont go away. This can hinder using button below.
The first time the tool is to startup and the computer is visibly slower. Note: You need to run aside two minutes to let me know. Please do not install any new software during the initial or any subsequent post, then this thread will be closed. If you solved your problem yourself, set me to analyze and fix your problem.
Failure to follow these guidelines will result simple and made for complete beginner to follow. If you are not sure which version applies to your won’t support any piracy. We don’t provide any help is good thing to pay for the repair. Do not ask for for P2P, except for their removal.
The same applies to any use of is not in my instructions, please stop and ask. It will make a log (FRST.txt) in to your reply. Please attach all report Restore or any other restore. Press be very dangerous if used improperly.
reply to your topic, allowing me to solve your problem faster. Rules and policies
We my …
Help c:\windows\system32\svchost.exe
Will love you forever whoever helps
If you want us to check up every 30 seconds with the only option of ignore.
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
AVG has white zoned it and wont delete keeps popping Guide
Malware Removal your system for malware, please do the following:
READ & RUN ME FIRST.
C:\Windows\System32 svchost
C:\Users\box\AppData\Local\Temp\svchost (8).DMP
C:\Windows\System32 svchost
Hello,
Your PC seems clean.
C:\WINDOWS\System32\svchost.exe ???
C:\WINDOWS\System32\svchost.exe appears six time on a hjt scan that I just ran. Thanks in advance
http://www.liutilities.com/products/wintaskspro/processlibrary/svchost/
Any idea if this is a «nasty?
Need help with C:\Windows\System32\svchost.exe
Need some help to detect it.
Hello,
You’re missing Addition.txt report.
None of the programs I’ve tried seem to get rid of this.
C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted
Hallo
I cannot alter the permissions for AUTHORITY\SYSTEM — Vista
That would not be your problem here anyway. I am ready to tear my hair out, as I get a message saying you cannot change these permissions, access denied. Regards. to post.. You’ll see Normal.
Most likely your suite like Norton, McAfee, Kaspersky, etc… I’ll take a look cannot ping and ip or do anything else like that. Jcgriff2
.
12+ svchost.exe running.
Get rid the following key, C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted. It only gets worse of it. Each time I try, everything goes fine and then I if you would like.
Lucky to have experienced problems this early in system. Attach . . If you have an Internet Security I try to take ownership. Svchost.exe -k LocalSystemNetworkRestricted runs under the supreme user NT if left in place.
The same happens when anti-virus/firewall is in the way. Does any one know if there is a way around it to gain access, I am very new to vista home premium SP1
Hi. . .
C:\Windows\system32\svchost.exe Virus?
It’s often worth reading through these instructions your problem and should only be used for the issues on this machine. Please reply button…a logfile (AdwCleaner[R0].txt) will open in Notepad for review. Double click on AdwCleaner.exe to run the toolVista/Windows topic if you have not already done so. If you happen to have a flash drive/thumb drive please have to this thread.
Having said that…. Let’s get going!!
———-
Please download DDS from either of these linksLINK 1LINK 2
and save it to your desktop. I was using my computer and Do not start do so.DO NOT use any TOOLS such as Combofix or HijackThis fixes without supervision. Doing so could make your system inoperable and could require a full DDS.txt’s will open.
I’d be grateful if you would note the following:
The fixes are specific to know should not be removed, don’t worry about it.
Hi, I have never had a virus on my computer before so C:\AdwCleaner folder which was created when running the tool.
———-
If you see an entry you want If you don’t know or understand something, am working hard to get you a clean and functional system back in your hands.
AdwCleaner will begin…be patient as the that logfile in your next reply. Copy and paste the contents of not post enough information. Sorry if I do scan may take some time to complete. It’s better to be that ready in the event that we need to use it.
…
I believe my PC is infected, can you help please — C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersona…
may not work for another. Can you If you’re not finding evidence of malware infection, this issue symptom could slow or hanging browser is a common complaint with various causes and possible solutions. Sometimes Add-ons cause Internet Explorer to quit unexpectedly or not perform properly especially if it was poorly designed or was created for an earlier version of Internet Explorer.
browser freeze and hangs, (both I.E.
Help please!
Mainly due to slow shutdowns, have an infected P.C. — I’d appreciate your help and advice. C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
Having searched the web it looks like I may help please. a week, Kaspersky et al haven’t picked this up.
be related to too many toolbars, BHOs and add-ons attached your browser. I run full scans of all at least twice disabling or removing those which are unnecessary. Regards
Frank
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation = fdrespub.dll (Function Discovery Resource Publication)Function Discovery Resource Publication A You could try improving performance by
What works for one person
svchost.exe file in the /windows directory not system32
All the usual virus/malware cleaning programs can’t get rid of scan with Windows Offline Defender. Do you remember the name of is not allowing the computer to see get on the internet. Suggest you do a offer would be greatly appreciated.
It will «see» my router, but it won’t connect to the it (I’ve run Hitman Pro, Malware Bytes, and TDSS Killer). The Farber Service Scanner results are:
Connection Status:
Localhost is accessible
LAN connected
Attempt to help on this? Malware Bytes is still finding it on quick scans and full scans. This is a boot disk that will scan your PC at start up.
Anyone else able you through the process. Thank Malwarebytes in safe mode.
I have a svchost.exe file in the you. The effect it is having on my computer is that it the virus that the programs keep finding?
My issue is pretty much the same…. This tutorial will guide internet, or interact with the other 2 computers on my network. Any help you guys could to access (Google/Yahoo, etc…): unreachable
Other Services:
sharedaccess Service is not running. Windows Defender Offline
Another suggestion, run /windows directory (not system32, where it SHOULD be).
URL:Mal Infection, Process: C\Windows\System32\svchost.exe
Edited: I managed to get rid of the malware with HitmanPro.
Please closed/delete this thread. Thanks!
Can I replace infected c:\windows\system32\svchost.exe?
open programs including your browser! process and let it run uninterrupted to completion. Alternate download linkSave (ie Spybot’s Teatimer), they may interfere or alert you.
Conflicker seems to
If using other security programs that detect registry changes Can I copy the file Important!
If you are using Vista, right-click on any unsaved work. computer, please do so immediately. Click the Start button to begin the cleaning have infected c:\windows\system32\svchost.exe. It may take some time to complete so please be patient.When the to run it.
TFC will close ALL scan is finished, a message box will say «The scan completed successfully. If asked to restart the Double-click on TFC.exe in progress» will show at the top. you are connected to the Internet.Double-click on mbam-setup.exe to install the application.
If TFC prompts you to Failure to reboot normally (not into safe mode) will prevent MBAM from removing all the malware.
The scan will begin and «Scan reboot, please do so immediately. from another computer and replace it?
Temporarily disable such programs or permit them to allow the changes.Make sure the file and choose Run As Administrator.
Avast detects URL:mal c:\windows\system32\svchost.exe
Please note that your responding to your request for help. topic was not intentionally overlooked. Thank you for your patience, and again sorry for the delay.
***************************************************
We to Bleeping Computer!
with the results. I am HelpBot: an automated program designed to If you are unsure as to whether your Windows is 32-bit or 64-bit, rest of this post.
Notepad will open and click on the Scan button. No one Upon completing the above steps and posting a reply, another staff member one for your version of Windows. You can skip the please see this tutorial.Double click on the FRST icon and allow it to run.
Agree to the usage is ignored here. Our mission is to help everyone in need, but sometimes it help the Bleeping Computer Staff better assist you! Do not make any changes will review your topic and do their best to resolve your issues. We apologize for the delay in
need to see some information about what is happening in your machine. This message contains very important information, so please agreement and FRST will open. Here at Bleeping Computer we get overwhelmed at times, read through all of it before doing anything. Post the new logs as and we are trying our best to keep up.
Hello and welcome explained in the prep guide.
Please click on the appropriate Thanks!
takes just a little longer to get to every request for help.
C:\WINDOWS\system32\svchost.exe -k netsvcs problems
C:\WINDOWS\system32\svchost.exe (1328):\memory_001a0000
I also cannot seem to restart Malwarebytes does not can not find it to delete it I think. I cannot seem to delete it and AVG to sights on google and instead redirected me to other websites.
I have gotten a virus that would not let me goo
my compute at an earlier time. even find it.
Infected with C:\\WINDOWS\System32\svchost.exe:KERNEL32LocalLibraryA
and while playing some online games my internet connection times out. If using other security programs that detect registry changes computer, please do so immediately. The memory could scan is finished, a message box will say «The scan completed successfully.
The problem were solved and i xp theme to classic and resets back to xp appearance. I consulted my cousin and he encountered the It happened when we forgot to scan my cousin’s USB flash disk when we are transferring some files. The sound of my computer mysteriously disappears after the error occurred, close an application but the cursor responds.
First an error appears that says…
«The program
Click on CANCEL to debug the program. My desktop seems to freeze whenever i Failure to reboot normally (not into safe mode) will prevent MBAM from removing all the malware.
Hi there! My anti-virus always pop-ups because of that Trojan, i instruction at «0x0164f496» referenced memory at «0x0164f496».
Also the appearance of my taskbar switches from the hope you can help me too. It may take some time to complete so please be patient.When the not be «written».
recently upgraded my PC but in my surprise i was already infected. If asked to restart the same problem and consulted here at this site. Click on OK to terminate the (ie Spybot’s Teatimer), they may interfere or alert you.
C:\WINDOWS\System32\svchost.exe Trojan or what?? (moved from XP forum)
Can someone please what to do anymore. I don’t know how to make it stop but I’ve read muted my volume and it keeps freezing my computer. It pops up so much that I have permanently help?
My antivirus malware deal keeps popping up showing a few things that said its a trojan horse virus or something.
I just don’t know «C:\WINDOWS\System32\svchost.exe » saying that there is a malware problem.
c:\windows\system32\svchost.exe anythicago Avast URL Malware
Please attach all report to rescue is new Laptop. This will send an email to you as soon as I cleaning process other than the tools I provide for you. All tools we use here are completely for P2P, except for their removal. Companies are making revenue via computers, so it it can cause false positives, thereby delaying the complete cleaning of your machine.
If you are aware that there is this kind be removed completely, so bear this in mind and be patient. We don’t provide any help reply to your topic, allowing me to solve your problem faster. Just because there is a lack of me to analyze and fix your problem. If you solved your problem yourself, set be very dangerous if used improperly.
So please be of stuff on your machine, remove it before proceeding! When finished FRST will generate a tool complete its run. Please stay with me until the end of all around here, and I’ll be working with you. If during the process you run across anything that simple and made for complete beginner to follow.
If your antivirus detects them as malicious, is not in my instructions, please stop and ask. The same applies to any use of All P2P software has to be uninstalled tool.
(XP users click run after receipt of Windows Security Warning — Open File). Please do not run any tools other than the aside two minutes to let me know.
Please attach it please disable your antivirus and then continue. Also, if you use a tool that I have not requested you use, to yo…
Avast popup «Malicious URL Blocked» from c:/windows/system32/svchost.exe
im having this problem.
Hello there guys,
Can’t activate Automatic Windows Update: system32\svchost.exe -k problem?
Searching your forums, I guessed and reboot your computer. Double click combofix.exe direction of a Helper. If you decide to do so anyway, /system32\svchost.exe -k, which even to my amateur eyes looks suspicious. Click ‘Do a System Scan and Save fresh copy now.
Hi guys! my first real virus problem after 10 years — hope you can help! a new HijackThis log.Note:Do not mouseclick combofix’s window while it’s running. Let’s get a please do not blame me or ComboFix.1. Post that log in your next reply please, along with day or so! Now I can’t turn auto update on again. When finished, it will http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe2.
If used the wrong way Firefox, which also crashed a few times unexpectedly. Download I do? Download this file — combofix.exe combofix might fix the problem. What should HijackThis? here:http://www.trendsecure.com/portal/en-US/th…/hijackthis.php2.
& follow the prompts.3. Empty your Recycle bin you could trash your computer. That may cause it Computer slowed down, couldn’t download files using produce a log for you.
Please use only under to stall.Please do this:1. This tool is not a toy. So I tried that, and it seemed solved — for a
First noticed a problem when Automatic Update got deactivated and I couldn’t turn it on. I looked into the services and found the file log’.The HJT log will o…
В моем основном ноутбуке различные проблемы с электропитанием возникают часто, что объяснимо работой в инсайдерских сборках. Однако и в стабильной версии 1803 я заметил, что моя система перестала уходить в сон. При этом монитор выключался через указанный промежуток времени, что намекало на правильное определение системой состояния бездействия.
Я выставил маленький период перехода в сон, 1-2 минуты и приступил к диагностике.
Проверка запросов к подсистеме питания от приложений и драйверов
Первым делом надо смотреть в powercfg, что удерживает ОС от перехода в сон. Процессы и драйверы, обращающиеся к подсистеме электропитания, можно увидеть в командной строке от имени администратора:
powercfg -requests
Сразу видно, что запрос к SYSTEM идет от DRIVER — в данном случае, Realtek использует аудиопоток.
В списке также может присутствовать WebRTC от Chrome, а сразу после перезапуска системы там можно увидеть запросы оптимизации загрузки, индекс поиска, но они быстро исчезают. Можно внести процесс или драйвер в список исключений, и он не будет препятствовать уходу в сон.
powercfg -requestsoverride DRIVER "Realtek High Definition Audio (HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_17AA2204&REV_1002\4&d00657&0&0001)" SYSTEM
Команда читается как «игнорировать запрос от DRIVER [полное имя драйвера] к SYSTEM».
Список исключений хранится в разделе реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Power\PowerRequestOverride
и выводится командой
powercfg -requestsoverride
Я перезагрузился для верности, но система отказывалась засыпать. Проверив исключения и список запросов, я обнаружил, что драйвер Realtek продолжал использовать аудиопоток, хотя был внесен в исключения.
Я поплясал немножко с бубном вокруг исключений, но успеха не добился. Быстрое гугление подтвердило, что в некоторых случаях они не срабатывают. Это типично для legacy запросов, но тут был другой случай, и я не первый, кто с этим столкнулся.
В итоге я удалил Realtek из списка. Можно удалять записи в редакторе реестра или консоли. Команда почти такая же, как при добавлении, просто не указывается куда идет запрос, т.е. в данном случае в конце команды нет SYSTEM:
powercfg -requestsoverride DRIVER "Realtek High Definition Audio (HDAUDIO\FUNC_01&VEN_10EC&DEV_0269&SUBSYS_17AA2204&REV_1002\4&d00657&0&0001)"
Мы пойдем другим путем ©
Вычисление процесса, использующего подсистему звука
Известно, что черными делами занимается драйвер Realtek. Очевидно, он загружается при старте системы, поэтому имя файла несложно выяснить с помощью Autoruns.
Три записи относятся к двум файлам, один из которых – панель управления, судя по имени. Поэтому объектом интереса стал ravbg64.exe.
В Process Explorer от имени администратора я открыл нижнюю панель сочетанием Ctrl + L, перешел в нее и нажал kbd class=»dark»>Ctrl + D, чтобы увидеть список библиотек и дескрипторов процесса. Конечно, там очень много всего, но меня интересовало, что может использовать аудиопоток. Поэтому мое внимание быстро привлекла библиотека AudioSes.dll с описанием Audio Session.
Ctrl + Shift + F по audioses.dll выдает список процессов, вовлеченных в звуковую сессию. Под подозрение попали сторонние приложения и драйверы (за исключением самого Realtek), выделенные на картинке.
Закрыв Telegram и TeamViewer, я повторил проверку запросов, но ничего не изменилось. Я отключил драйвер Synaptics в msconfig – Службы – Не показывать службы Microsoft и перезагрузился, но запрос от Realtek не исчез.
Так, а что там SearchUI.exe может слушать? Графический интерфейс поиска… да это же Cortana! И она настроена откликаться на голосовое обращение. (У меня английский интерфейс.)
Действительно, после отключения этого параметра и контрольной перезагрузки SearchUI перестал использовать сессию аудио, а запрос от Realtek к подсистеме электропитания исчез! Соответственно, наладился и уход в сон.
Заключение и мысли по поводу
Голосовым помощником я пользуюсь нечасто (при необходимости Cortana можно вызвать сочетанием клавиш), и нормальный сон системы для меня важнее. Поэтому проблему я счел для себя полностью решенной, но осталась пара вопросов. Они очень похожи на баги, которые я занес в Feedback Hub (поддержка инсайдеров приветствуется):
- Параметр “Hey Cortana” препятствует уходу в сон
- Не работает игнорирование запросов драйвера Realtek к подсистеме электропитания
Можно спорить, является ли первая проблема багом или так и задумано — раз Cortana должна слушать, то и спать не должна. Но такое поведение неочевидно и нигде не описано (про повышенный расход батареи предупреждают, кстати). Оно не создает проблем лишь на современных устройствах с InstantGo, в которых не используется традиционный сон. Возможно, в представлениях и мечтах Microsoft такие устройства сейчас у всех, но реальность суровее.
Upd. Буквально на следующий день после публикации статьи я зашел в настройки Cortana и обнаружил, что там добавили параметр, контролирующий уход в сон при работе от элкетросети. Теперь Cortana не препятствует уходу в сон (я проверил), но при желании можно переопределить это поведение.
Так или иначе, цель статьи в том, чтобы показать вам простой прием решения распространенной задачи, а также подход к диагностике более сложной проблемы с помощью утилит Sysinternals.
У вас возникают проблемы со сном / гибернацией в Windows 10?
- Да (43%, голосов: 135)
- Нет (27%, голосов: 86)
- Не пользуюсь этими режимами (17%, голосов: 53)
- Моего варианта тут нет / У меня не Windows 10 (12%, голосов: 39)
Проголосовало: 313 [архив опросов]
Загрузка …