Svchost.exe - hvad er det?

Service Host – Generic Host Process for Win32 Services. Windows 2000/XP only.  SVCHOST is a generic process which acts as a host for processes that run from DLLs rather than EXEs. At startup SVCHOST checks the Services portion of the Registry to construct a list of DLL-based services that it needs to load, and then loads them.  There can be many instances of SVCHOST running, as there will be one instance of SVCHOST for every DLL-based service or grouping of services (the grouping of services is determined by the programmers who wrote the services in question).  Under Windows XP Professional you can find out what DLL-based services SVCHOST is running by typing Tasklist /SVC at a Command Prompt (MS-DOS Prompt – this command is not available in Windows XP Home), while under Windows 2000 you need to use the TLIST –s command from a Command Prompt (MS-DOS Prompt).

Recommendation :
An integral part of the operating system, leave alone – multiple instances of SVCHOST is a normal occurrence.  If you experience SVCHOST errors, the problem is most likely not with SVCHOST but with the DLLs it is hosting.

Ved godt du lige har formateret med den svchost brokker sig nogle gang, når der er kommet snavs ind, prøv lige at :

Hent hijackthis : http://www.spywarefri.dk/vaerktoj.htm#hijackthis

den udpakker du og kører Hijackthis, scan, save log og kopier logfilen herind, så kigger vi på den.

DU MÅ IKKE FIXE NOGET SELV. NÅR VI HAR TJEKKET LOGGEN IGENNEM FORTÆLLER VI DIG HVAD DER SKAL SLETTES...



Manual for installering af hijackthis:

http://www.spywarefri.dk/hijackthis.man.htm

Tak for det arlet - jeg skal dog først lige trille hjem og prøve det, vender så først tilbage i morgen..
vh J

Det er bare i orden

//jdybro

Prøv eventuelt at tjekke dette link

http://www.pcmag.com/article2/0,4149,654619,00.asp

Her gives en kort forklaring på nogle af de filer som du kan se kører i "Jobliste"

Tjek det her, det lugter af blaster når du har en win2K.
http://www.spywarefri.dk/virus.htm#msblast

Godaften - her er så loggen, sidste linie stammer fra Macro som jeg var i færd med at downloade fra internettet mens jeg tjekkede fromsej's link, og så gik den helt i stå. Regn ikke med jeg "kigger ind" til jer før i morgen formiddag,
vh J

Logfile of HijackThis v1.97.3
Scan saved at 20:17:32, on 29-10-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\System32\MsiExec.exe
D:\WINNT\System32\msblast.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.driverzone.com/
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

du får den om 10 minutter

OK

Der var en del snavs:
Du skal nu til at i gang med at fixe. Men først skal du lige have noget instruktion. Du skal åbne hijackthis. Du får herunder nogle filer som du skal fixe, det du skal gøre er at sætte en vinge ud for alle disse filer. IKKE FIXE endnu. Når du har gjort det så lukker du alle andre vinduer ned, det er meget vigtigt at det eneste vindue som er åbent er HijackThis vinduet. Husk også at lukke dette vindue når du har markeret filerne. Nu må du fixe. Klik på Fix chekede. Efter fix skal du genstarte din computer.
Her er de filer, du skal fixe :

O4 - HKLM\..\Run: [windows auto update] msblast.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.dk
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.dk


Derefter Genstarter du i fejlsikret tilstand(Fejlsikret tilstand kommer du i ved at trykke på <F8> når maskinen starter op, lige inden den begynder at indlæse Windows.) Find følgende fil i Stifinder og slet den:

D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\msblast.exe


Derefter genstarter du og sender en ny log herind, for at se om vi har fået den helt ren.

Dén er printet ud, men jeg når altså ikke og svare dig mere i aften - du hører nærmere i morgen, foreløbig tak arlet....
J

Det er bare i orden...

Hej igen - se at D:\WINNT\system32\MSTask.exe stadigvæk er med. Det skyldes ganske enkelt at jeg simpelthen ikke kunne finde den!?!? Prøvede med "søg" og ændrede mappeindstillinger til at "vise alle filer" men den VILLE ikke findes.
Hva' så?
vh
J
Logfile of HijackThis v1.97.3
Scan saved at 21:21:25, on 29-10-2003
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
C:\Unzipped\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.driverzone.com/
O3 - Toolbar: @msdxmLC.dll,-1@1030,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

..og lige: jeg var på nettet og svchost.exe lukkede igen.....

lad den fil være og gå ind og hent den seneste internet explorer, der er kommet en version 6. og dit windows er der kommet en sp4. hent det hele her : http://www.it-service.sdu.dk/vis.php?side=84

genstart og se hvad den så siger..

SP4 fylder omkring de 130 Mb!? Jeg kører med 56k modem /-: Prøver at få en kammerat til at hente den for mig - og foreløbig mere tak, jeg vender tilbage såsnart den er i hus.
vh J

Det er bare i orden...

Blaster virus:
http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-026.asp

Når du har installet denne update og genstartet skal du bruge et antivirus tool til at slette hvad som måtte være tilbage. Jeg vil anbefalde Mcafee's lille gratis scanner Stinger. Du kan hente den her fra -> http://www.mcafee.dk/

Hej Arlet - så er begge installationer kørt:

Logfile of HijackThis v1.97.3
Scan saved at 12:10:56, on 02-11-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
C:\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.driverzone.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Fixes:
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

Ellers er din log ren.

- kørte iøvrigt Stinger og den fandt msblast.exe og SVCHOST.EXE og progrtammet slettede dem....
fromsej> skal jeg så "fixe" den som du nævner?

Ja, det skal du.*S*

Sådan:
Logfile of HijackThis v1.97.3
Scan saved at 13:03:59, on 02-11-2003
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
C:\Unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.driverzone.com/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

trashmus> kunne du lige gi et svar også, jeg vil gerne dele point til jer når den tid kommer:
Håber nu vi er ved vejs ende, MEN: svchost.ece - hvad er det? Og lige nu poppede meddelelse op på skærmen igen med at; svchost.exe lukkes af windows...... der oprettes en fejllog /-:

...jeg skal ud og sætte tagrender op......vi "høres" ved....

OK, husk faldet skal være mod nedløbet, ikke væk fra det.*S*

Jeg tror du skal få lukket for Dcom, det gør det her program for dig.
http://www.spywarefri.dk/tipsogtricks.htm#DCom

Nu ser det altså ud til det virker igen uden at den gør mærkeligt på nettet. Kan igen åbne link i andet browservindue, afbryde forbindelse mv. Men det var først efter Dcom-programmet blev kørt. Jeg siger mange tak for jeres hjælp, men vil altså lige vente til trashmus har svaret inden der gives point. I har alle 3 været medvirkende til løsningen - og ville, hvis jeg vidste det var SÅ svært (for mig i hvert fald:-) givet flere point.
......og fromsej > det er sgu' flot med sådan nogle nye zink-tagrender.....og det er nemt når de blot skal monteres i de gamle rendejern.....som har det rigtige fald (-:

Du kan hæve pointtallet, hvis du vil.*S*
http://expfaq.1go.dk/?id=33#flere_point_end_lovet
Men ikke for min skyld, dem går jeg nu ikke så højt op i, bare jeg er i den månedlige top 100.

Ja, zinktagrender er flotte. ;o)

Takker for point *S*

Det var godt det lykkes...

Tak for point.*S*