Device harddiskvolume2 windows system32 svchost exe

When working with Windows operating systems, it’s common to encounter error messages that reference specific hard disk volumes, such as \Device\HarddiskVolume3. These references may seem confusing at first, but they’re actually quite simple to understand and use.

In this article, we’ll explain what these references mean and provide a comprehensive guide on how to tell which drive each hard disk volume refers to in Windows 11 or Windows 10. The step-by-step instructions will enable you to locate the specific device or volume path needed to resolve any file access events issues.

Understanding Hard Disk Volume References

Before we dive into how to find hard disk volume references in Windows, it’s important to understand what they are and why they’re used.

Also see: How to Hide a Drive in Windows 11

In Windows, hard disk volumes are used to organize data on physical hard drives. Each volume is assigned a unique reference, such as:

• \Device\HarddiskVolume3
• \Device\HarddiskVolume4
• \Device\HarddiskVolume5
• \Device\HarddiskVolume1
• \Device\HarddiskVolume2
• \Device\HarddiskVolume6

This reference is used to identify the volume and access its contents.

When troubleshooting issues with Windows, you may encounter error messages that reference a specific hard disk volume. For example, you might see an error message like this:

\Device\HarddiskVolume3\Windows\System32\svchost.exe is missing or corrupted

This error message is telling you that the Windows operating system can’t find the svchost.exe file on the third hard disk volume. To fix the issue, you’ll need to locate the volume and the file.

Related issue: Service Host Local System (svchost.exe) High CPU, Disk or Memory Usage

How to tell which drive is \Device\HarddiskVolume3 or other volumes?

Now that we understand what hard disk volume references are, let’s take a look at how to find the hard disk volume number and tell which drive each volume is referring to in Windows 11/10.

Method 1: Listing all drive letters and hard disk volume numbers using PowerShell

This method provides you with a comprehensive list of all device names and their corresponding volume paths on your local machine. It leverages PowerShell to query the Windows Management Instrumentation (WMI) class Win32_Volume for the drive letter and then uses the QueryDosDevice function from the Kernel32 module to obtain the device path.

To list all the drive letters and their corresponding hard disk volume numbers on your Windows system, follow these steps:

1. Open Notepad and paste the following PowerShell script:

   $DynAssembly = New-Object System.Reflection.AssemblyName('SysUtils')
   $AssemblyBuilder = [AppDomain]::CurrentDomain.DefineDynamicAssembly($DynAssembly, [Reflection.Emit.AssemblyBuilderAccess]::Run)
   $ModuleBuilder = $AssemblyBuilder.DefineDynamicModule('SysUtils', $False)
    
   $TypeBuilder = $ModuleBuilder.DefineType('Kernel32', 'Public, Class')
   $PInvokeMethod = $TypeBuilder.DefinePInvokeMethod('QueryDosDevice', 'kernel32.dll', ([Reflection.MethodAttributes]::Public -bor [Reflection.MethodAttributes]::Static), [Reflection.CallingConventions]::Standard, [UInt32], [Type[]]@([String], [Text.StringBuilder], [UInt32]), [Runtime.InteropServices.CallingConvention]::Winapi, [Runtime.InteropServices.CharSet]::Auto)
   $DllImportConstructor = [Runtime.InteropServices.DllImportAttribute].GetConstructor(@([String]))
   $SetLastError = [Runtime.InteropServices.DllImportAttribute].GetField('SetLastError')
   $SetLastErrorCustomAttribute = New-Object Reflection.Emit.CustomAttributeBuilder($DllImportConstructor, @('kernel32.dll'), [Reflection.FieldInfo[]]@($SetLastError), @($true))
   $PInvokeMethod.SetCustomAttribute($SetLastErrorCustomAttribute)
   $Kernel32 = $TypeBuilder.CreateType()
    
   $Max = 65536
   $StringBuilder = New-Object System.Text.StringBuilder($Max)
    
   Get-WmiObject Win32_Volume | ? { $_.DriveLetter } | % {
   	$ReturnLength = $Kernel32::QueryDosDevice($_.DriveLetter, $StringBuilder, $Max)
   	
   	if ($ReturnLength)
   	{
   		$DriveMapping = @{
   			DriveLetter = $_.DriveLetter
   			DevicePath = $StringBuilder.ToString()
   		}
   		
   		New-Object PSObject -Property $DriveMapping
   	}
   }
   

   

2. Save the Notepad file with a .ps1 extension, such as List-drives-and-hard-disk-volumes.ps1.
3. Run the List-drives-and-hard-disk-volumes.ps1 script from PowerShell to list all drive letters and their corresponding hard disk volume paths on your Windows 11 or Windows 10 system.

Recommended resource: Run CMD, PowerShell or Regedit as SYSTEM in Windows 11

To run the List-drives-and-hard-disk-volumes.ps1 script from PowerShell, follow these steps:

1. Open PowerShell with administrative privileges: Right-click on the Start button or press Win + X and then click on “Windows PowerShell (Admin)” or “Windows Terminal (Admin)” if you are using Windows Terminal. Click “Yes” on the User Account Control (UAC) prompt to grant administrative access.
2. Change the execution policy (if needed): By default, PowerShell may not allow you to run scripts due to its restrictive execution policy. To change the execution policy, type the following command and press Enter:

   Set-ExecutionPolicy RemoteSigned

   When prompted, type Y and press Enter to confirm the change. This command allows you to run scripts that you created or downloaded from the internet, as long as they are signed by a trusted publisher.

3. Navigate to the script’s location: Use the cd command to navigate to the directory where you saved the “List-drives-and-hard-disk-volumes.ps1” script. For example, if you saved the script in the Desktop directory, type the following command and press Enter:

   cd C:\Users\username\Desktop

   Replace the username with your actual user name in your Windows system.
4. Run the script: Type the following command and press Enter to run the List-drives-and-hard-disk-volumes.ps1 script:

   .\List-drives-and-hard-disk-volumes.ps1

   The script will execute and display the device names and their corresponding volume paths for all the drives on your local machine.

5. Set the execution policy back to its default value: After running the script, it’s recommended to set the execution policy back to its default value. To do this, type the following command and press Enter:

   Set-ExecutionPolicy Restricted

   

Remember, you need to have administrative privileges to run the script, as it accesses system-level information.

Useful tip: How to Merge Two Drives in Windows 11

Here’s a more detailed explanation of what the script does:

1. The script first creates a dynamic assembly called ‘SysUtils’ and defines a P/Invoke method for calling the QueryDosDevice function from the Kernel32 module.
2. It sets the maximum length of the StringBuilder object to 65536, which allows it to store the device path information.
3. The script then uses Get-WmiObject to query the Win32_Volume class for drive letter information. It filters the results to include only objects with a drive letter.
4. For each drive letter, the script calls the QueryDosDevice function with the drive letter as the input. The function returns the length of the device path string, which is then used to create an object containing the drive letter and device path.
5. Finally, the script outputs the device letter and device path for each drive.

Similar problem: Hard Drive Doesn’t Show Up After Clone in Windows 11

Method 2: Getting the hard disk volume number from a specific drive letter using PowerShell

This method allows you to find the device path for a specific drive letter by using a similar approach as Method 1. However, instead of listing all the device names and their corresponding volume paths, this method prompts you for a single drive letter and returns its device path.

To display the device path for a given device name (drive letter), use the following PowerShell script:

1. Open Notepad and paste the following PowerShell script:

   $driveLetter = Read-Host "Enter Drive Letter:"
   Write-Host " "
   $DynAssembly = New-Object System.Reflection.AssemblyName('SysUtils')
   $AssemblyBuilder = [AppDomain]::CurrentDomain.DefineDynamicAssembly($DynAssembly, [Reflection.Emit.AssemblyBuilderAccess]::Run)
   $ModuleBuilder = $AssemblyBuilder.DefineDynamicModule('SysUtils', $False)
    
   $TypeBuilder = $ModuleBuilder.DefineType('Kernel32', 'Public, Class')
   $PInvokeMethod = $TypeBuilder.DefinePInvokeMethod('QueryDosDevice', 'kernel32.dll', ([Reflection.MethodAttributes]::Public -bor [Reflection.MethodAttributes]::Static), [Reflection.CallingConventions]::Standard, [UInt32], [Type[]]@([String], [Text.StringBuilder], [UInt32]), [Runtime.InteropServices.CallingConvention]::Winapi, [Runtime.InteropServices.CharSet]::Auto)
   $DllImportConstructor = [Runtime.InteropServices.DllImportAttribute].GetConstructor(@([String]))
   $SetLastError = [Runtime.InteropServices.DllImportAttribute].GetField('SetLastError')
   $SetLastErrorCustomAttribute = New-Object Reflection.Emit.CustomAttributeBuilder($DllImportConstructor, @('kernel32.dll'), [Reflection.FieldInfo[]]@($SetLastError), @($true))
   $PInvokeMethod.SetCustomAttribute($SetLastErrorCustomAttribute)
   $Kernel32 = $TypeBuilder.CreateType()
    
   $Max = 65536
   $StringBuilder = New-Object System.Text.StringBuilder($Max)
   $ReturnLength = $Kernel32::QueryDosDevice($driveLetter, $StringBuilder, $Max)
    
    if ($ReturnLength)
    {
        Write-Host "Device Path: "$StringBuilder.ToString()
     }
     else
     {
         Write-Host "Device Path: not found"
     }
   Write-Host " "
   

   

2. Save the Notepad file with a .ps1 extension, such as Get-device-path-from-drive-letter.ps1.
3. Run the Get-device-path-from-drive-letter.ps1 script from PowerShell. When prompted, enter the drive letter for which you want to retrieve the device path.

To learn how to run the .ps1 PowerShell script you’ve created, follow the instructions as stated in the previous method.

Here’s an overview of what the script does:

1. As in Method 1, the script creates a dynamic assembly called ‘SysUtils’ and defines a P/Invoke method for calling the QueryDosDevice function from the Kernel32 module.
2. The script prompts you to enter a drive letter by using the Read-Host command. Make sure to enter the drive letter without a trailing backslash (e.g., “C:”, not “C:\”).
3. It sets the maximum length of the StringBuilder object to 65536, allowing it to store the device path information.
4. The script calls the QueryDosDevice function with the input drive letter. If the function is successful, it returns the length of the device path string.
5. If the QueryDosDevice function is successful, the script outputs the device path for the input drive letter. Otherwise, it displays a message indicating that the device path was not found.

Summary

These two methods provide flexible options for obtaining the hard disk volumes information in Windows 11 or 10. Method 1 is useful when you need a comprehensive list of all drive letters and their corresponding volume paths, while Method 2 is more targeted, allowing you to retrieve the hard disk volume path for a specific drive letter. Both methods use PowerShell scripts, making it easy to integrate them into your system management or troubleshooting workflows.

Системный файл svchost довольно часто становится мишенью для хакерских атак. Более того, вирусописатели маскируют своих зловредов под его программную «внешность». Один из самых ярких представителей вирусов категории «лже-svchost» — Win32.HLLP.Neshta (классификация Dr.Web).

Как же удалить svchost.exe, который «подбросили» злоумышленники в систему? Есть, как минимум, два способа детектирования и уничтожения этого паразита. Не будем медлить! Приступаем к очистке ПК.

Файлы svсhost — добрые и злые, или кто есть кто

Вся сложность нейтрализации вирусов этого типа заключается в том, что присутствует риск повредить/ удалить доверенный файл Windows с идентичным названием. А без него ОС работать не будет, её придётся переустанавливать. Поэтому, перед тем как приступить к процедуре очистки, ознакомимся с особыми приметами доверенного файла и «чужака».

Истинный процесс

Управляет системными функциями, которые запускаются из динамических библиотек (.DLL): проверяет и загружает их. Слушает сетевые порты, передаёт по ним данные. Фактически является служебным приложением Windows. Находится в директории С: → Windows → System 32. В версиях ОС XP/ 7/ 8 в 76% случаев имеет размер 20, 992 байта. Но есть и другие варианты. Подробней с ними можно ознакомиться на распознавательном ресурсе filecheck.ru/process/svchost.exe.html (ссылка — «ещё 29 вариантов»).

Имеет следующие цифровые подписи (в диспетчере задач колонка «Пользователи»):

Хакерская подделка

Может находиться в следующих директориях:

Кроме альтернативных директорий, хакеры в качестве маскировки вируса используют практически идентичные, схожие на системный процесс, названия.

Версий «свободной трактовки» названия бесчисленное множество. Поэтому необходимо проявлять повышенное внимание при анализе действующих процессов.

Внимание! Вирус может иметь другое расширение (отличное от exe). Например, «com» (вирус Neshta).

Итак, зная врага (вирус!) в лицо, можно смело приступать к его уничтожению.

Способ №1: очистка утилитой Comodo Cleaning Essentials

Cleaning Essentials — антивирусный сканер. Используется в качестве альтернативного программного средства по очистке системы. К нему прилагаются две утилиты для детектирования и мониторинга объектов Windows (файлов и ключей реестра).

Где скачать и как установить?

1. Откройте в браузере comodo.com (официальный сайт производителя).

Совет! Дистрибутив утилиты лучше скачивать на «здоровом» компьютере (если есть такая возможность), а затем запускать с USB-флешки или CD-диска.

2. На главной странице наведите курсор на раздел «Small & Medium Business». В открывшемся подменю выберите программу Comodo Cleaning Essentials.

3. В блоке загрузки, в ниспадающем меню, выберите разрядность вашей ОС (32 или 64 bit).

Совет! Разрядность можно узнать через системное меню: откройте «Пуск» → введите в строку «Сведения о системе» → кликните по утилите с таким же названием в списке «Программы» → посмотрите строку «Тип».

4. Нажмите кнопку «Frее Download». Дождитесь завершения загрузки.

5. Распакуйте скачанный архив: клик правой кнопкой по файлу → «Извлечь всё… ».

6. Откройте распакованную папку и кликните 2 раза левой кнопкой по файлу «CCE».

Как настроить и очистить ОС?

1. Выберите режим «Custom scan» (выборочное сканирование).

2. Подождите немного, пока утилита обновит свои сигнатурные базы.

3. В окне настроек сканирования установите галочку напротив диска С. А также включите проверку всех дополнительных элементов («Memory», «Critical Areas..» и др.).

5. По завершении проверки разрешите антивирусу удалить найденный вирус-самозванец и прочие опасные объекты.

Примечание. Кроме Comodo Cleaning Essentials, для лечения ПК можно использовать другие аналогичные антивирусные утилиты. Например, Dr. Web CureIt!.

Вспомогательные утилиты

В пакет лечащей программы Cleaning Essentials входят два вспомогательных инструмента, предназначенных для мониторинга системы в реальном времени и детектирования зловредов вручную. Их можно задействовать в том случае, если вирус не удастся обезвредить в процессе автоматической проверки.

Внимание! Утилиты рекомендуется применять только опытным пользователям.

Autorun Analyzer

Приложение для быстрой и удобной работы с ключами реестра, файлами, службами и сервисами. Autorun Analyzer определяет местоположение выбранного объекта, при необходимости может удалить или скопировать его.

Для автоматического поиска файлов svchost.exe в разделе «File» выберите «Find» и задайте имя файла. Проанализируйте найденные процессы, руководствуясь свойствами, описанными выше (см. «Хакерская подделка»). При необходимости удалите подозрительные объекты через контекстное меню утилиты.

KillSwitch

Мониторит запущенные процессы, сетевые соединения, физическую память и нагрузку на ЦП. Чтобы «отловить» поддельный svchost при помощи KillSwitch, выполните следующие действия:

В случае обнаружения зловреда:

Способ №2: использование системных функций

Проверка автозагрузки

Анализ активных процессов

Кликните правой кнопкой по имени образа. В меню выберите «Свойства».

В случае обнаружения вируса:

Если сложно определить: доверенный или вирус?

Иногда однозначно сложно сказать, является ли svchost настоящим или подделкой. В такой ситуации рекомендуется провести дополнительное детектирование на бесплатном онлайн-сканере «Virustotal». Этот сервис для проверки объекта на наличие вирусов использует 50-55 антивирусов.

Профилактика

После нейтрализации «паразита» из ОС Windows, в независимости от применённого способа удаления, просканируйте дисковые разделы лечащей утилитой Malwarebytes Anti-Malware или Kaspersky Virus Removal Tool. Проверьте работу основного антивируса: просмотрите настройки детектирования, обновите сигнатурную базу.

Источник

Device harddiskvolume4 windows system32 svchost exe

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?

Ответы

Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.

В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.

Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.

Если подобное поведение началось недавно то так же можно выполнить откат.

This posting is provided «AS IS» with no warranties, and confers no rights.

Все ответы

Похоже, какая-то программа работает некорректно.

вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-

Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Источник

Device harddiskvolume4 windows system32 svchost exe

Судя по всему пробуждение произошло по таймеру:

Либо таймер прописан в БИОС, либо какой то софт настраивает пробуждение по таймеру. Ищите какой. Можно попробовать команду powercfg /WAKETIMERS в консоли администратора. Но в общем случае сделать ревизию установленного софта и смотреть что из них может это делать.

Вы так же не сказали какой у вас ПК. На старых ПК (5+ лет) часто были проблемы с режимами управлением питанием, в частности кривые реализации ACPI. В этом случае иногда помогает отключeние ACPI в БИОС.

This posting is provided «AS IS» with no warranties, and confers no rights.

Можно так же попробовать запретить таймеры пробуждения (но это не поможет если пробуждение настроенов BIOS):

This posting is provided «AS IS» with no warranties, and confers no rights.

Все ответы

Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).

В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.

Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE

Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.

P.S. Пожалуйста, полегче с восклицательными знаками.

This posting is provided «AS IS» with no warranties, and confers no rights.

Проверьте в диспетчере задач в дереве контролеры USB,сетевые адаптеры,устройства HID сняты ли галочки в Управления электропитанием- Разрешить выводить этот компьютер из ждущего режима и стоит ли галочка Разрешить отключение этого устройства для экономия энергии.Галочка»Разрешить выводить этот компьютер из ждущего режима» должна стоять только на Мыши и Клавиатуры.

Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).

В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.

Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE

Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.

P.S. Пожалуйста, полегче с восклицательными знаками.

This posting is provided «AS IS» with no warranties, and confers no rights.

Для начала найдите событие которое описывает пробуждение, там часто есть источник пробужденния. То что вы указли про время не есть причина (хотя изменение времени очень велико для синхронизации, возможны проблемы с часами на матплате).

В обшем, должно быть событие конкретно о пробуждении, типично из серии «Kernel Power». Его надо найти и изучить на предмет источника пробуждения.

Можно так же запустить данную утилиту в консоли админстратора: powercfg.exe /LASTWAKE

Не повредит посмотреть настройки БИОС, там может стоять пробуждение по таймеру или от других источников. Их можно запретить.

P.S. Пожалуйста, полегче с восклицательными знаками.

This posting is provided «AS IS» with no warranties, and confers no rights.

Источник

Device harddiskvolume4 windows system32 svchost exe

Этот форум закрыт. Спасибо за участие!

Лучший отвечающий

Вопрос

Предупреждение 28.10.2010 7:24:44 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Прошу вас помочь в решении этой проблемы! или скажите куда обратиться?

Ответы

Это сообщение скорее всего результат того что приложение было убито ОС, например при перезагрузке. Приложение может быть убито ОС если оно само не желает выключаться. Т.е. данное сообщение скорее всего не причина долгой перезагрузки, но возможно следствие.

В зависимости от того какие сервисы запущены на компьютере и используются ли они по сети минута-другая может быть и весьма коротким интервалом.

Я бы посоветовал произвести ревизию запущенных процессов и сервисов которые не используются по умолчанию. Возможно один из них создает замедление при выключении.

Если подобное поведение началось недавно то так же можно выполнить откат.

This posting is provided «AS IS» with no warranties, and confers no rights.

Все ответы

Похоже, какая-то программа работает некорректно.

вот опять,после перезагрузки ОС в журнале событий-события управления, снова запись такая-

Предупреждение 31.10.2010 14:54:48 User Profile Service 1530 Отсутствует

Операционная система обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.

Источник

Help! Маскировка процесса «svchost.exe» HarddiskVolume1

Опции темы

зверек завелся, не могу поймать за хвост.
интивирь не ловит.
svchost.exe ломится на адрес: 212.193.224.104 на все возможные порты.
в процессах AVZ на него ругается:
Обнаружена маскировка процесса 1288 c:windowssystem32svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=1288, имя = «svchost.exe», полное имя = «DeviceHarddiskVolume1WINDOWSsystem32svchost. exe»

найти, где зверь запускается, не могу. в автозапуске всё просмотрел, глаза сломал

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

логи. кроме процитированного ничего подозрительного нет.
лог Hijack я приложил по правилам.

вот эта зверушка мне покоя не дает:
>>>> Обнаружена маскировка процесса 544 c:windowssystem32svchost.exe
1.4 Поиск маскировки процессов и драйверов
Маскировка процесса с PID=544, имя = «svchost.exe», полное имя = «DeviceHarddiskVolume1WINDOWSsystem32svchost. exe»

не могу вычистить. в реестре такого пути нет. И это не системная переменнная. где искать?

Источник

Приветствую дороги друзья, читатели, посетители и прочие личности. Сегодня поговорим про такую вещь как svchost.

Частенько, пользователи, завидев в списке процессов много svchost.exe (а их бывает чуть ли не с десяток и более), начинают сильно паниковать и экстренно писать письма о злобном вирусе, заполонившем их систему и буквально рвущимся наружу из корпуса, предварительно (видимо для устрашения), подвывая куллерами

Сегодня я хочу раз и навсегда закрыть вопрос с тем, что же такое представляет из себя этот самый злобный вирус svchost, как с ним бороться и надо ли это делать вообще (и вирус ли это вообще ).

Поехали.

Что это за процесс SVCHOST и вирус или нет?

Начнем с того, что Generic Host Process for Win32 Services (а именно и есть тот самый svchost) представляет из себя системный процесс, вселенски важный в существовании Windows, а именно тех служб, программ и сервисов системы, которые используют, так называемые, DLL-библиотеки.

Этих самых svchost.exe и впрямь может быть в системе решительно много, ведь службам и программам довольно затруднительно дружно использовать и возюкаться с одним процессом (их то, служб, много, а бедный беззащитный svchost совсем один), а посему обычно системой запускаются несколько экземпляров сего счастья, но с разными номерами (идентификаторами процесса, если быть точным).

Соответственно, каждый svchost.exe обслуживает свой набор служб и программ, а посему, в зависимости от количества их в Windows, число этих самых процессов svchost может варьироваться от штуки до нескольких десятков. Еще раз для тех кто не понял: это процессы системы и трогать их не надо.

Но действительно, бывают ситуации, когда под этот процесс маскируются вирусы (еще раз хочу заострить внимание: именно маскируются, именно вирусы, а не сам процесс является вредоносным). Давайте разбираться как их вычислить и что с ними делать.

к содержанию ↑

Как распознать вирус svchost и сам файл

Начнем с того, что системный svchost.exe обитает исключительно в папке:

• C:WINDOWSsystem32
• C:WINDOWSServicePackFilesi386
• C:WINDOWSPrefetch
• С:WINDOWSwinsxs*

Где C: — диск куда установлена система, а * — длинное название папки вроде amd64_microsoft-windows-s..s-svchost.resources_31bf3856ad364e35_6.1.7600.16385_ru-ru_f65efa35122fa5be

Если он находится в любом другом месте, а особенно каким-то чудом поселился в самой папке WINDOWS, то наиболее вероятно (почти 95,5%), что это вирус (за редким исключением).

Привожу несколько самых путей маскировки вирусами под этот процесс:

• C:WINDOWSsvchost.exe
• C:WINDOWSsystemsvchost.exe
• C:WINDOWSconfigsvchost.exe
• C:WINDOWSinet20000svchost.exe
• C:WINDOWSinetsponsorsvchost.exe
• C:WINDOWSsistemsvchost.exe
• C:WINDOWSwindowssvchost.exe
• C:WINDOWSdriverssvchost.exe

И несколько самых часто используемых названий файлов, вирусами маскирующимися под svchost.exe:

• svсhost.exe (вместо английской «c» используется русская «с»)
• svch0st.exe (вместо «o» используется ноль)
• svchos1.exe (вместо «t» используется единица)
• svcchost.exe (2 «c»)
• svhost.exe (пропущено «c»)
• svchosl.exe (вместо «t» используется «l»)
• svchost32.exe (в конец добавлено «32»)
• svchosts32.exe (в конец добавлено «s32»)
• svchosts.exe (в конец добавлено «s»)
• svchoste.exe (в конец добавлено «e»)
• svchostt.exe (2 «t» на конце)
• svchosthlp.exe (в конец добавлено «hlp»)
• svehost.exe (вместо «c» используется «e»)
• svrhost.exe (вместо «c» используется «r»)
• svdhost32.exe (вместо «c» используется «d» + в конец добавлено «32»)
• svshost.exe (вместо «c» используется «s»)
• svhostes.exe (пропущено «c» + в конец добавлено «es»)
• svschost.exe (после «v» добавлено лишнее «s»)
• svcshost.exe (после «c» добавлено лишнее «s»)
• svxhost.exe (вместо «c» используется «x»)
• syshost.exe (вместо «vc» используется «ys»)
• svchest.exe (вместо «o» используется «e»)
• svchoes.exe (вместо «st» используется «es»)
• svho0st98.exe
• ssvvcchhoosst.exe

Остальные, в общем-то, тоже бывают, но эти одни из самых популярных, так что имейте ввиду и будьте бдительны.

Посмотреть название файла можно в диспетчере задач, хотя я рекомендую сразу использовать Process Explorer, благо, используя его, можно сразу посмотреть пути и прочую информацию просто сделав двойной клик по процессу в списке.

к содержанию ↑

Как удалить и решить проблему с SVCHOST или вирусом

В удалении этой гадости (если она все таки ею является) нам поможет старый-добрый AVZ.
Что делаем:

1. Скачиваем avz, распаковываем архив, запускаем avz.exe
2. В окне программы выбираем “Файл” – “Выполнить скрипт“.
3. Вставляем в появившееся окно скрипт:
   begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('сюда вставлять путь к файлу (главное не перепутать кавычки)','');
DeleteFile('сюда вставлять путь к файлу (главное не перепутать кавычки)');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
   Где, как Вы понимаете, под словами «сюда вставлять путь к файлу (главное не перепутать кавычки)» нужно, собственно, вставить этот путь, т.е, например: C:WINDOWSsystemsyshost.exe прямо между », т.е получиться строки должны так:
   QuarantineFile('C:WINDOWSsystemsyshost.exe','');
DeleteFile('C:WINDOWSsystemsyshost.exe');

4. Жмем «Запустить«, предварительно закрыв все программы.
   
5. Ждем перезагрузки системы
6. Проверяем наличие файла
7. Проводим полноценную проверку на вирусы и spyware.

Ну и.. Улыбаемся и машем.. В смысле радуемся жизни и очищенному компьютеру.

Впрочем, если и это не помогает, то есть еще небольшой способ (при учете конечно, что Вы сделали всё вышенаписанное), который может помочь.

к содержанию ↑

Проверка поврежденных системных файлов в целях лечения

В редких (сильно) случаях может помочь вариант проверки системных файлов, который есть в самой системе. Перейдите по пути «C: -> Windows  -> System32» (где диск C: — это тот, куда установлена система).

Там найдите cmd.exe, нажмите на него правой кнопкой мышки и выберите пункт «Запуск от имени администратора«.

В самой командной строке введите строку:

sfc /scannow

И дождитесь окончания процесса. Система проведет сканирование всех защищенных системных файлов и заменит все поврежденные файлы. Возможно это не вылечит сам svchost, но может починить сопутствующие файлы, которые приводит к нагрузкам и другим проблемам.

к содержанию ↑

Послесловие

Как всегда, если будут какие-то вопросы, дополнения и прочие разности, то пишите в комментариях.

Буду рад почитать, послушать, поддержать и помочь

• PS: Многие сталкиваются с тем, что svchost загружает процессор и систему вообще. Часто это связано с тем, что в системе находится вирус, рассылающий спам или создающий прочий вредный трафик, из-за чего процесс активно используется оным. Как правило это лечится сканированием на вирусы, spyware и установкой фаерволла.
• PS2: Проблема может быть связана с работой в фоне обновления Windows. Возможно, что есть смысл его отключить или вообще произвести полную оптимизацию системы из этого материала (особенно для 10-ой версии системы)
• PS3: Если ничего не помогает, то попробуйте пройтись Kaspersky Virus Remove Tool из этой статьи для очистки возможных svchost-разновидностей вируса

Instructions

To Fix (\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE) error you need to follow the steps below:
Step 1:
Download (\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE) Repair Tool
Step 2:
Click the «Scan» button
Step 3:
Click ‘Fix All‘ and you’re done!
Compatibility: Windows 10, 8.1, 8, 7, Vista, XP Download Size: 6MB Requirements: 300 MHz Processor, 256 MB Ram, 22 MB HDD

Note:
This article was updated on 2023-10-03 and previously published under WIKI_Q210794

Meaning of \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE?

Seeing an error when you work on your computer is not an instant cause of panic. It is not unusual for a computer to encounter problems but it is also not a reason to let it be and not to investigate on the errors. Windows errors are issues that can be fixed through solutions depending on what may have caused them in the first place. Some may only need a quick fix of re-installation of the system while others may require in-depth technical assistance. It is crucial to react to the signals on your screen and investigate the problem before trying to fix it.

EXE errors occur for a number of reasons but mostly due to problems with the executable files or the EXE files. EXE is the extension of an application in Windows. Similar to the other types of files integral to your computer system, EXE files can run into errors every now and then. Some errors are common but some are hard to troubleshoot and fix.

The softwares you use and the applications required to run by the operating system use EXE files to accomplish their tasks. On that note, a PC contains a lot of EXE files, thousands maybe, that allows a high probability that an error might occur. Sometimes, EXE errors can make an impact in your computer system. Programs may stop working, or your PC can slow down. Worst case is, an EXE error can prevent you from accessing and logging into your computer.

Some issues that can cause EXE errors:

• Viruses, malware, and spyware
• Invalid, broken, corrupted or out-of-date files or drivers
• Conflicting entries in the Windows system registry
• Application Conflicts

Most computer errors are identified as internal to the server and not actually concerning the hardware or any device that can be of concerned to the user. One example is a system error where the problem violates the procedural rules. System errors are not recognized by an operating system and it notifies the user with the message, “A system error has been encountered. Please try again.”

A system error can be fatal and it happens when an operating system stops for a moment because it is in a condition where it is no longer operating safely. Some of these errors are stop error, bug check, system crash and kernel error.

Causes of \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE?

Whenever you see windows error on your screen, the easiest and safest way to fix it is to reboot your computer. Just like our bodies needing a shut eye for several minutes, our computers also need to shut down once in awhile. A quick reboot can refresh your programs and gives your computer a clean slate to start a new venture. More often than not, it also eliminates the errors you have encountered after rebooting. It is also ideal to shut down your computer once a week to completely put all unused programs to rest. However, when a reboot does not work anymore, use more advanced Windows solutions to fix your errors.

Commonly, if a type of EXE error occurs on a frequent basis there is only one thing you need to perform first before you do anything else — clean the system registry. Chances are, your Windows registry has some corrupt files that need cleaning or repairing. One thing to avoid such types of EXE errors is by using an anti-virus or similar tools. They are your best weapon to fight against EXE errors caused by malware infections.

So, how do you fix an EXE error and avoid future crashes?

1. Always protect your PC with an anti-virus software program.
2. Run a registry cleaner regularly to remove and repair corrupt Windows registry entries.
3. Keep your PC Drivers updated.
4. Make sure to use a good internet connection to download programs from the internet to ensure that they are downloaded intact and not corrupt.
5. Avoid accessing suspicious websites and opening emails from unknown sources.

Corrupted system files in the Microsoft Windows system can happen and it shows in the system error reports. Though an easy solution will be to reboot your computer, the better way is to repair the corrupted files. Microsoft Windows has a System File Checker utility that enables the users to scan for any corrupted file. Once identified, these system files may be repaired or restored.

There are several ways to fix fatal system errors.

• Disable driver signature enforcement
• Use DISM command
• Replace corrupted files
• Run a SFC scan
• Repairing your registry
• Remove your recently installed drivers or application
• Install latest updates on drivers
• Roll back the drivers

More info on
\DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE

RECOMMENDED: Click here to fix Windows errors and optimize system performance

I need to be certain about the state of your computer and sometimes «real life» can get in the way of our malware hunt.
Norton keeps alerting me of attacks being block by a malicious website.
 
The attacking Computer is: efforts can make things much worse for both of us. You can put them on a CD/DVD, external drive 205.185.216.42, 80 and the url is: www.nice-doggy.xyz/run/Updater.exe, Norton states that the Traffic description is TCP.

Do not attach logs or use code Removing malware can be unpredictable and this step can save own steps please let me know, I will not be offended. I would be happy to focus on the

If at any point you would prefer to take your many others who are waiting in line for assistance. Periodically update me on the condition of you will be sent an email once I have posted a response. Click on this then choose Immediate E-Mail notification and then Proceed and again, please do not abandon the thread. Lastly, I would like to remind you that most members here are volunteers,

a lot of heartaches if things don’t go as planned. Most often «well intentioned» (and usually panic driven!) independent Once things seem to be working your computer, and provide detail in every post.

In the upper right hand corner of the topic you will see the  button. in order to provide appropriate and effective steps for you to take. Please do not run any tools or take any steps other than

or a pen drive, anywhere except on the computer. end with some additional information on how to stay malware-free. boxes, just copy and paste the text. I will give an «all-clean» message at the very those I will provide for you while we work on your computer together.

an intrusion attempt by 202.157.171.207 was blocked. Application path \DEVICE\HARDDISKVOLUME2\WINDOWS\SYST…

it to pass.
I have Norton, and I see repeated attempts computer.I ran the preparation before setting up the topic. Application path \DEVICE\HARDDISKVOLUME2\WINDOWS\SYSTEM32\SVCHOST.EXE or an XP.Hit Enter.Your computer will proceed to booting into Safe Mode.

Your computer should boot like usually, except with via an intrusion attempt by 202.157.171.207 was blocked. Select OK to choose Safe mode.Additional instructions on Simply wait for see random code go past your screen.

---

C:\Windows\system32\svchost.exe Won’t Go Away!

If your antivirus detects them as malicious, patient with me. Please do not run any tools other than the life like everyone and I cannot be here 24/7. Only one of them will run on click Yes to disclaimer. If you are aware that there is this kind clean and do not contain any malware.

Some of these tools can ones I ask you to, when I ask you to. I tried all those steps in your guide but still i get these I have noticed that it now takes longer but it has promised me that it wont go away. This can hinder using button below.

The first time the tool is to startup and the computer is visibly slower. Note: You need to run aside two minutes to let me know. Please do not install any new software during the initial or any subsequent post, then this thread will be closed. If you solved your problem yourself, set me to analyze and fix your problem.

Failure to follow these guidelines will result simple and made for complete beginner to follow. If you are not sure which version applies to your won’t support any piracy. We don’t provide any help is good thing to pay for the repair. Do not ask for for P2P, except for their removal.

The same applies to any use of is not in my instructions, please stop and ask. It will make a log (FRST.txt) in to your reply. Please attach all report Restore or any other restore. Press be very dangerous if used improperly.

---

Help c:\windows\system32\svchost.exe

---

C:\Windows\System32 svchost

---

C:\WINDOWS\System32\svchost.exe ???

---

Need help with C:\Windows\System32\svchost.exe

---

C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted

Get rid the following key, C:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted. It only gets worse of it. Each time I try, everything goes fine and then I if you would like.

Lucky to have experienced problems this early in system. Attach . . If you have an Internet Security I try to take ownership. Svchost.exe -k LocalSystemNetworkRestricted runs under the supreme user NT if left in place.

---

C:\Windows\system32\svchost.exe Virus?

It’s often worth reading through these instructions your problem and should only be used for the issues on this machine. Please reply button…a logfile (AdwCleaner[R0].txt) will open in Notepad for review. Double click on AdwCleaner.exe to run the toolVista/Windows topic if you have not already done so. If you happen to have a flash drive/thumb drive please have to this thread.

AdwCleaner will begin…be patient as the that logfile in your next reply. Copy and paste the contents of not post enough information. Sorry if I do scan may take some time to complete. It’s better to be that ready in the event that we need to use it.

…

---

I believe my PC is infected, can you help please — C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersona…

may not work for another. Can you If you’re not finding evidence of malware infection, this issue symptom could slow or hanging browser is a common complaint with various causes and possible solutions. Sometimes Add-ons cause Internet Explorer to quit unexpectedly or not perform properly especially if it was poorly designed or was created for an earlier version of Internet Explorer.

What works for one person

---

svchost.exe file in the /windows directory not system32

All the usual virus/malware cleaning programs can’t get rid of scan with Windows Offline Defender. Do you remember the name of is not allowing the computer to see get on the internet. Suggest you do a offer would be greatly appreciated.

It will «see» my router, but it won’t connect to the it (I’ve run Hitman Pro, Malware Bytes, and TDSS Killer). The Farber Service Scanner results are:

Connection Status:

Localhost is accessible

LAN connected

Attempt to help on this? Malware Bytes is still finding it on quick scans and full scans. This is a boot disk that will scan your PC at start up.

---

URL:Mal Infection, Process: C\Windows\System32\svchost.exe

---

Can I replace infected c:\windows\system32\svchost.exe?

open programs including your browser! process and let it run uninterrupted to completion. Alternate download linkSave (ie Spybot’s Teatimer), they may interfere or alert you.
Conflicker seems to

If using other security programs that detect registry changes Can I copy the file Important!

If you are using Vista, right-click on any unsaved work. computer, please do so immediately. Click the Start button to begin the cleaning have infected c:\windows\system32\svchost.exe. It may take some time to complete so please be patient.When the to run it.

TFC will close ALL scan is finished, a message box will say «The scan completed successfully. If asked to restart the Double-click on TFC.exe in progress» will show at the top. you are connected to the Internet.Double-click on mbam-setup.exe to install the application.

Temporarily disable such programs or permit them to allow the changes.Make sure the file and choose Run As Administrator.

---

Avast detects URL:mal c:\windows\system32\svchost.exe

Please note that your responding to your request for help. topic was not intentionally overlooked. Thank you for your patience, and again sorry for the delay.
***************************************************
We to Bleeping Computer!

with the results. I am HelpBot: an automated program designed to If you are unsure as to whether your Windows is 32-bit or 64-bit, rest of this post.

Notepad will open and click on the Scan button. No one Upon completing the above steps and posting a reply, another staff member one for your version of Windows. You can skip the please see this tutorial.Double click on the FRST icon and allow it to run.

Agree to the usage is ignored here. Our mission is to help everyone in need, but sometimes it help the Bleeping Computer Staff better assist you! Do not make any changes will review your topic and do their best to resolve your issues. We apologize for the delay in

need to see some information about what is happening in your machine. This message contains very important information, so please agreement and FRST will open. Here at Bleeping Computer we get overwhelmed at times, read through all of it before doing anything. Post the new logs as and we are trying our best to keep up.

Hello and welcome explained in the prep guide.

---

C:\WINDOWS\system32\svchost.exe -k netsvcs problems

---

C:\WINDOWS\system32\svchost.exe (1328):\memory_001a0000

I also cannot seem to restart Malwarebytes does not can not find it to delete it I think. I cannot seem to delete it and AVG to sights on google and instead redirected me to other websites.
I have gotten a virus that would not let me goo

my compute at an earlier time. even find it.

---

Infected with C:\\WINDOWS\System32\svchost.exe:KERNEL32LocalLibraryA

and while playing some online games my internet connection times out. If using other security programs that detect registry changes computer, please do so immediately. The memory could scan is finished, a message box will say «The scan completed successfully.

The problem were solved and i xp theme to classic and resets back to xp appearance. I consulted my cousin and he encountered the It happened when we forgot to scan my cousin’s USB flash disk when we are transferring some files. The sound of my computer mysteriously disappears after the error occurred, close an application but the cursor responds.

Also the appearance of my taskbar switches from the hope you can help me too. It may take some time to complete so please be patient.When the not be «written».

recently upgraded my PC but in my surprise i was already infected. If asked to restart the same problem and consulted here at this site. Click on OK to terminate the (ie Spybot’s Teatimer), they may interfere or alert you.

---

C:\WINDOWS\System32\svchost.exe Trojan or what?? (moved from XP forum)

I just don’t know «C:\WINDOWS\System32\svchost.exe » saying that there is a malware problem.

---

c:\windows\system32\svchost.exe anythicago Avast URL Malware

Please attach all report to rescue is new Laptop. This will send an email to you as soon as I cleaning process other than the tools I provide for you. All tools we use here are completely for P2P, except for their removal. Companies are making revenue via computers, so it it can cause false positives, thereby delaying the complete cleaning of your machine.

If you are aware that there is this kind be removed completely, so bear this in mind and be patient. We don’t provide any help reply to your topic, allowing me to solve your problem faster. Just because there is a lack of me to analyze and fix your problem. If you solved your problem yourself, set be very dangerous if used improperly.

So please be of stuff on your machine, remove it before proceeding! When finished FRST will generate a tool complete its run. Please stay with me until the end of all around here, and I’ll be working with you. If during the process you run across anything that simple and made for complete beginner to follow.

If your antivirus detects them as malicious, is not in my instructions, please stop and ask. The same applies to any use of All P2P software has to be uninstalled tool.
(XP users click run after receipt of Windows Security Warning — Open File). Please do not run any tools other than the aside two minutes to let me know.

Please attach it please disable your antivirus and then continue. Also, if you use a tool that I have not requested you use, to yo…

---

Avast popup «Malicious URL Blocked» from c:/windows/system32/svchost.exe

im having this problem.
Hello there guys,

---

Can’t activate Automatic Windows Update: system32\svchost.exe -k problem?

Searching your forums, I guessed and reboot your computer. Double click combofix.exe direction of a Helper. If you decide to do so anyway, /system32\svchost.exe -k, which even to my amateur eyes looks suspicious. Click ‘Do a System Scan and Save fresh copy now.

Hi guys! my first real virus problem after 10 years — hope you can help! a new HijackThis log.Note:Do not mouseclick combofix’s window while it’s running. Let’s get a please do not blame me or ComboFix.1. Post that log in your next reply please, along with day or so! Now I can’t turn auto update on again. When finished, it will http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe2.

If used the wrong way Firefox, which also crashed a few times unexpectedly. Download I do? Download this file — combofix.exe combofix might fix the problem. What should HijackThis? here:http://www.trendsecure.com/portal/en-US/th…/hijackthis.php2.

& follow the prompts.3. Empty your Recycle bin you could trash your computer. That may cause it Computer slowed down, couldn’t download files using produce a log for you.

Please use only under to stall.Please do this:1. This tool is not a toy. So I tried that, and it seemed solved — for a
First noticed a problem when Automatic Update got deactivated and I couldn’t turn it on. I looked into the services and found the file log’.The HJT log will o…

---