svchost.exe blijft lopen bij afsluiten
Gerardvb
lopen, dat uiteindelijk manueel afgesloten moet worden. In taakbeheer zie ik
6 keer een svchost proces. 3 met gebruiker SYSTEM, 2 met gebruiker
Netwerkservice en 1 x met mij als gebruiker. Als ik dat laatste proces
beeindig in taakbehaar sluit Windows normaal af.
Is hier iets aan te doen?
Mijn dank zou groot zijn,
Gerard van Beusekom
G.@imaginary®.com Gandalf Gladstone
"Gerardvb" <Gera...@discussions.microsoft.com> schreef in bericht
news:13BC5CE9-E094-4396...@microsoft.com...
Het is heel normaal dat er meer dan een svchost.exe actief en zichtbaar
zijn in Taakbeheer!
Een aantal toepasingen hebben een eigen service host
Het niet meteen afsluiten van Windows komt doordat er nog een van die
toepassing actief is.
Je kunt er een progje van MS downloaden waarmee je het eventueel kunt
verhelpen.
karelV
Als je wilt weten welke service door die svchost met jou als gebruiker
loopt, kun je daar zo achter komen:
- Eerst in taakbeheer de kolom PID zichtbaar maken: menu Beeld -
kolommen selecteren en daar PID aanvinken.
Dan de PID van dat bewuste proces noteren.
- Haal ProcessExplorer op
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Als je daarin met de muis over die svchost met die PID gaat, kun je in
een ballonvenstertje zien welke service het betreft.
--
karelV
Gerardvb
de windows32 directory.
De UPHC tool richt niets uit.
Als ik het proces in kwestie hecht aan WinDbg. Levert dit het volgende
verhaal op, waar ik niets mee kan. Maar waar in elk geval het woord error in
voorkomt.
Wat ik vreemd vind, is dat in het linkervenster van WinDbg onder het
procesnummer Commandline staat. Terwijl ik toch echt niet svchost vanaf een
commandline opstart, en het ook niet ergens van uit opstartprogramma's komt.
Zelfs als ik Windows in safe mode start blijft het verschijnsel.
Output WinDBG:
Microsoft (R) Windows Debugger Version 6.3.0011.2
Copyright (c) Microsoft Corporation. All rights reserved.
*** wait with pending attach
Symbol search path is: *** Invalid ***
****************************************************************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
****************************************************************************
Executable search path is:
ModLoad: 01000000 01006000 C:\WINDOWS\system32\svchost.exe
ModLoad: 7c900000 7c9b5000 C:\WINDOWS\system32\ntdll.dll
ModLoad: 7c800000 7c900000 C:\WINDOWS\system32\kernel32.dll
ModLoad: 77f40000 77feb000 C:\WINDOWS\system32\ADVAPI32.dll
ModLoad: 77da0000 77e32000 C:\WINDOWS\system32\RPCRT4.dll
ModLoad: 77f10000 77f21000 C:\WINDOWS\system32\Secur32.dll
ModLoad: 5cfa0000 5cfc6000 C:\WINDOWS\system32\ShimEng.dll
ModLoad: 596c0000 5988a000 C:\WINDOWS\AppPatch\AcGenral.DLL
ModLoad: 7e390000 7e421000 C:\WINDOWS\system32\USER32.dll
ModLoad: 77e40000 77e89000 C:\WINDOWS\system32\GDI32.dll
ModLoad: 76af0000 76b1e000 C:\WINDOWS\system32\WINMM.dll
ModLoad: 774a0000 775dd000 C:\WINDOWS\system32\ole32.dll
ModLoad: 77be0000 77c38000 C:\WINDOWS\system32\msvcrt.dll
ModLoad: 770e0000 7716b000 C:\WINDOWS\system32\OLEAUT32.dll
ModLoad: 77bb0000 77bc5000 C:\WINDOWS\system32\MSACM32.dll
ModLoad: 77bd0000 77bd8000 C:\WINDOWS\system32\VERSION.dll
ModLoad: 7c9c0000 7d1e2000 C:\WINDOWS\system32\SHELL32.dll
ModLoad: 77e90000 77f06000 C:\WINDOWS\system32\SHLWAPI.dll
ModLoad: 76970000 76a25000 C:\WINDOWS\system32\USERENV.dll
ModLoad: 5b190000 5b1c8000 C:\WINDOWS\system32\UxTheme.dll
ModLoad: 77390000 77493000
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
ModLoad: 5d4e0000 5d57a000 C:\WINDOWS\system32\comctl32.dll
ModLoad: 77170000 7721b000 C:\WINDOWS\system32\wininet.dll
ModLoad: 77a40000 77ad6000 C:\WINDOWS\system32\CRYPT32.dll
ModLoad: 77ae0000 77af2000 C:\WINDOWS\system32\MSASN1.dll
ModLoad: 7df20000 7dfc2000 C:\WINDOWS\system32\urlmon.dll
ModLoad: 10100000 1010e000 C:\Program Files\Logitech\SetPoint\lgscroll.dll
ModLoad: 78130000 781cb000
C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.1433_x-ww_5cf844d2\MSVCR80.dll
ModLoad: 77650000 77671000 C:\WINDOWS\system32\NTMARTA.DLL
ModLoad: 71b80000 71b93000 C:\WINDOWS\system32\SAMLIB.dll
ModLoad: 76f20000 76f4d000 C:\WINDOWS\system32\WLDAP32.dll
ModLoad: 76f90000 7700f000 C:\WINDOWS\system32\CLBCATQ.DLL
ModLoad: 77010000 770dd000 C:\WINDOWS\system32\COMRes.dll
ModLoad: 3d640000 3d65a000 C:\PROGRA~1\DAP\DAPIE.DLL
ModLoad: 6c370000 6c462000 C:\PROGRA~1\DAP\MFC42.DLL
ModLoad: 76020000 76085000 C:\WINDOWS\system32\MSVCP60.dll
ModLoad: 61e00000 61e0e000 C:\WINDOWS\system32\MFC42LOC.DLL
ModLoad: 47540000 47566000 C:\Program Files\DAP\DAPIEEngine.dll
ModLoad: 74c00000 74c2c000 C:\WINDOWS\system32\OLEACC.dll
ModLoad: 3dac0000 3dacc000 C:\Program Files\DAP\DAPIEMonitor.dll
ModLoad: 75d40000 75dd1000 C:\WINDOWS\system32\mlang.dll
ModLoad: 71a50000 71a5a000 C:\WINDOWS\system32\wsock32.dll
ModLoad: 71a30000 71a47000 C:\WINDOWS\system32\WS2_32.dll
ModLoad: 71a20000 71a28000 C:\WINDOWS\system32\WS2HELP.dll
ModLoad: 719d0000 71a10000 C:\WINDOWS\system32\mswsock.dll
ModLoad: 61200000 61259000 C:\WINDOWS\system32\hnetcfg.dll
ModLoad: 71a10000 71a18000 C:\WINDOWS\System32\wshtcpip.dll
ModLoad: 76ea0000 76edc000 C:\WINDOWS\system32\RASAPI32.DLL
ModLoad: 76e50000 76e62000 C:\WINDOWS\system32\rasman.dll
ModLoad: 6ff20000 6ff75000 C:\WINDOWS\system32\NETAPI32.dll
ModLoad: 76e70000 76e9f000 C:\WINDOWS\system32\TAPI32.dll
ModLoad: 76e40000 76e4e000 C:\WINDOWS\system32\rtutils.dll
ModLoad: 72240000 72245000 C:\WINDOWS\system32\sensapi.dll
ModLoad: 76ee0000 76f07000 C:\WINDOWS\system32\DNSAPI.dll
ModLoad: 76f80000 76f86000 C:\WINDOWS\system32\rasadhlp.dll
(5d0.b08): Break instruction exception - code 80000003 (first chance)
eax=7ffdf000 ebx=00000001 ecx=00000002 edx=00000003 esi=00000004 edi=00000005
eip=7c90120e esp=00b5ffcc ebp=00b5fff4 iopl=0 nv up ei pl zr na po nc
cs=001b ss=0023 ds=0023 es=0023 fs=0038 gs=0000 efl=00000246
*** ERROR: Symbol file could not be found. Defaulted to export symbols for
C:\WINDOWS\system32\ntdll.dll -
ntdll!DbgBreakPoint:
7c90120e cc int 3
--
nosig
karelV
> Beide suggesties halen niets uit: Procesexplorer verwijst naar svchost.exe in
> de windows32 directory.
Ja natuurlijk .... maar als je de muis op die svchost zet komt er een
geel popupvenstertje waarin achter 'Services:' staat met *welke* service
hij bezig is.
Die kennis zou je op het spoor kunnen zetten om je afsluitprobleem op te
lossen.
--
karelV
Gerardvb
dat is met alle andere svchost.exe processen inderdaad het geval, behalve
bij datgene det de problemen veroorzaakt. Daar staat echt in het venstertje
C:\WINDOWS\system32\svchost.exe
--
nosig
karelV
> dat is met alle andere svchost.exe processen inderdaad het geval, behalve
> bij datgene det de problemen veroorzaakt. Daar staat echt in het venstertje
> C:\WINDOWS\system32\svchost.exe
>
Probeer of je met AutoRuns, tabblad Logon, te weten kunt komen waarom
die loze svchost wordt opgestart.
Vinkje weghalen of daarna hele regel verwijderen als je hem kunt vinden.
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
--
karelV
Gerardvb
--
nosig
karelV
> Komt hij niet in voor. svc-ghost is misschien een passender naam?
Ja hallo .... je praat steeds over svchost en nu ineens svc-ghost ...
Svcghost is een trojan (oftewel virus), Uitschakelen/verwijderen dus in
Autoruns.
http://www.greatis.com/appdata/d/s/svcghost.exe.htm
--
karelV
karelV
- SuperAntiSpyware Free
http://www.superantispyware.com/download.html
(de onderste keuze)
en
- Malwarebytes' AntiMalware
http://www.malwarebytes.org/mbam.php
(gebruik "Download")
--
karelV
FredW
wrote:
>Gerardvb schreef op 21-11-2008 17:49:
>> Komt hij niet in voor. svc-ghost is misschien een passender naam?
>
>Ja hallo .... je praat steeds over svchost en nu ineens svc-ghost ...
Volgens mij was dat een grapje van Gerard.
;-)
--
Groeten van Fred W. te A.
Geniet nooit met mate.
Loesje
karelV
> On Fri, 21 Nov 2008 18:26:11 +0100, karelV <kar...@degroeten.local>
> wrote:
>
>> Gerardvb schreef op 21-11-2008 17:49:
>>> Komt hij niet in voor. svc-ghost is misschien een passender naam?
>> Ja hallo .... je praat steeds over svchost en nu ineens svc-ghost ...
>
> Volgens mij was dat een grapje van Gerard.
> ;-)
Dan ben ik daar dus ingetuind :-)
--
karelV
Gerardvb
herkent, wellicht is er ook nog wel ergens iemand die er om glimlacht.
--
nosig
Gerardvb
Windows XP/General discussion, die bestond uit het veranderen van de
HKEY_CURRENT_USER\Control Panel\Desktop key AutoEndTasks van 0 naar 1.
Daardoor kan ik nu weglopen als ik op afsluiten heb geklikt, maar ik blijf
het een onaangenaam idee vinden dat er op mijn PC een proces loopt waarvan de
aanstichter niet te traceren is. Zoiets als mannen die een kind verwekken en
dan hun snor drukken.
Gerardvb
Uit een scan met S&D Spybot bleek het Win32.Delf.uc virus winlogon.exe te
besmetten. Repareren met Spybot hielp alleen tijdens de sessie. na opstarten
was het virus er weer. Met behulp van Avast heb ik de aanstichters kunnen
verwijderen. Geen last meer van Win32.Delf.uc en tegelijk is ook het
vaderloos lijkende svchost proces verdwenen!