Svchost.exe占用内存过大解决
Svchost.exe病毒的简单处理　　
　　1.当发现Svchost.exe不在%systemroot%\System32目录中的，可以安全删除，同时在注册表中查找对应的注册项删除掉。&或用tasklist/svc命令查看svchost.exe
右边的服务是不是“暂缺”，是的话为中毒了。
　　2.Svchost.exe在%systemroot%\System32目录，说明Svchost.exe是被病毒感染了，可以用杀毒软件清除。&
　　注：清除和删除要分清楚，清除是清除病毒，删除则是删文件
　　svchost.exe到底启动了那些服务？&
　　如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看。例如在Windows
XP中，打开“命令提示符”，键入tasklist /svc命令查看；在Windows 2000中，则输入“Tlist
-S”命令来查看。如果&
　　如果你在Windows XP中，想得到所有进程的详细信息，可以打开“命令提示符”，键入　tasklist
/svc&abc.txt
命令，于是在当前目录中，将会生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务。&
　　Svchost.exe病毒的清除方法：
　　1、用unlocker删除类似于C:\SysDayN6这样的文件夹：例如C:\Syswm1i、C:\SysAd5D等等，这些文件夹有个共同特点，就是名称为
Sys*** （***是三到五位的随机字母），这样的文件夹有几个就删几个。&
　　2、开始——运行——输入“regedit”——打开注册表，展开注册表到以下位置：&
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run&
　　删除右边所有用纯数字为名的键，如&
　　&66&&C:\SysDayN6\svchost.exe&&
　　&333&&C:\Syswm1i\svchost.exe&&
　　&50&&C:\SysAd5D\svchost.exe&&
　　&4&&C:\SysWsj7\svchost.exe&&
　　3、重新启动计算机，病毒清除完毕。&[1]
假设你已经使用了杀毒软件排除了病毒和已经使用反间谍软件排除了恶意软件的影响：
清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。
（C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录）
如果机器提示文件正在使用（"Automatic Updates"服务正在运行）无法删除相应目录：
则先打开控制面板==&管理工具==&服务，找到"Automatic
Updates"，设置成手动启动，
重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
然后再打开控制面板==&管理工具==&服务，找到"Automatic
Updates"，恢复成自动启动重启。
引起进程飙满的原因是由于Windows
Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用，从而表现为svchost.exe负载极高。另外正版XP此发病率极高~！看来正版也不是那么好用地~!
关闭svchost.exe任务总结
服务使用情况可以察看或操作的为以下五处
运行regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
可以看到所有服务的英文名简称，与任务管理器里的映像名称一致
&&2)&&&HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
右边的窗口可以看到所有分了类的svchost的服务，所有的svchost.exe允许的服务都列在分类中，如果用tasklist发现有不属于的服务则很可能是木马。所有服务如果全部打开肯定达到或者超过8个svchost.exe，所以即使有这么多svchost.exe也不一定代表中招。
运行services.msc
看到的都是所有可用服务的详细英文名，表面上是看不出哪些属于svchost.exe的。
3、当前运行的服务
运行cmd进入命令行
输入tasklist /svc (win2000输入tlist -s)
查看所有当前进程所对应的服务的详细信息。
4、当前运行服务
运行taskmgr或者ctrl+alt+del
可以查看服务映像名，PID以及占用cpu和内存
5、启动服务
运行msconfig 服务选项卡，可以更改下一次启动的服务
4查看svchost.exe服务如下，一个svchost多余两个服务则用途略去，按照我后面写的方法自己去查吧
图像名&&&&&&&&&&&&
服务&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&用户名&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
svchost.exe&&&&&&&&&&&
DcomLaunch,
TermService&&&&&&SYSTEM
svchost.exe&&&&&&&&&&&&&&&&
RpcSs&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&NETWORK
SERVICE&&&&
提供终结点映射程序(endpoint mapper)以及其它 RPC服务
svchost.exe&&&&&&&&&&&&&&&&&AudioSrv,
Dhcp等一堆&&&&&SYSTEM
svchost.exe&&&&&&&&&&&&&&&&
Dnscache&&&&&&&&&&&&&&&&&&&&&&&&&&&&&NETWORK
SERVICE&&&&
为此计算机解析和缓冲域名系统 (DNS)
名称svchost.exe&&&&&&&&&&&&&&&&&RemoteRegistry&&&&&&&&&&&&&&&&&&&&&&LOCAL
SERVICE&&&&&&&
使远程用户能修改此计算机上的注册表设置
svchost.exe&&&&&&&&&&&&&&&&
LmHosts, SSDPSRV,
WebClient&&&&LOCAL
svchost.exe&&&&&&&&&&&&&&&&
usnsvc&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&SYSTEM&&&&&&&&&&&&&&&&&&Messenger
上安装的启用共享情况的服务svchost.exe&&&&&&&&&&&&&&&&
stisvc&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&SYSTEM&&&&&&&&&&&&&&&&&&为扫描仪和照相机提供图像捕获。
以上所有svchost服务都能在注册表(2)里找到分类。
如果有svchost.exe对应的服务暂缺那一定是感染了木马程序，根据PID在任务管理器中停止。然后到启动服务里查看有没有需要在下一次开机时关闭的恶意服务。
同时在windows目录下搜索svchost.exe，正常情况下只有system32和system32\dllcache里有svchost.exe，如果其它文件夹比如system32\wins下的话那一定是木马程序了。不过这种情况下一般用kaspersky扫描critical
areas能够扫描出来的。
强烈建议关闭RemoteRegistry服务，以免被操作注册表。usnsvc也没啥用。stisvc如果不使用扫描仪也可以关闭，这样任务管理器中应该只有4个svchost.exe。如果LmHosts,
SSDPSRV, WebClient&对应的打开就是5个。
关闭服务方法
关闭时首先打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services位置，找到相应的服务映像名，比如stisvc，在右边的窗口里点击Description可以了解该服务的用途，点击DisplayName可以了解该映像名对应的完整服务名称即Windows Image Acquisition
运行services.msc，找到该Windows Image Acquisition (WIA)加以禁用和关闭。
运行msconfig找到Windows Image Acquisition (WIA)取消钩选。
搜索注册表的目的就是为了将在任务管理器和tasklist出来的服务映像名和在services管理器里的完整服务名对应起来，便于定位和操作。
svchost以外的服务也可以根据这个方法进行操作。
附用到的命令：
services.msc
&——打开服务管理器（或在控制面板--》性能维护--》管理工具--》服务）
tasklist/svc —— 查看进程对应的服务
运行】regedit ——查看注册表
运行】msconfig——修改启动项或启动服务
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。83713人阅读
Windows（20）
近来，经常发现win7系统开机后反应超慢，经过检查发现占用CPU和内存很高。这种情况要持续十几分钟，之后就正常了。
各种开机项目都禁止了，还是如此。有可以的服务也禁止了，依旧如此。实在搞不明白了，难道是中病毒或者木马了？
经过一番网络上的调查，发现很多人说的我都实验过了，还是不行。终究找到了一个篇特殊的。说的可能window update导致的。于是参考这篇文章找到C:\Windows\SoftwareDistribution\DataStore\DataStore.edb这个文件。发现这个文件500多M。
查看该进程对应服务，有很多服务都依赖他，包括windows update，资源监视器中进程显示为svchost..exe(netsvcs)，
可以判定不是病毒引起的。以前用Vista也遇到这个问题，删除C:\Windows\SoftwareDistribution\DataStore\DataStore.edb这个文件可以解决问题，并且以前在Vista下就是这样做的，可以解决问题，但是过段时间就又会出现，并且这样做的缺点是windows update无法查看以前的更新历史。据说正常情况下这个文件大小应该在几兆，
以前Vista超过40M就会导致开机CPU过高，现在我的win7已经达到了114M。
经过删掉这个文件，重新启动后，一切正常！
再去查看这个文件发现，这个文件又重新生成了。不过这次很小也就8M多点。
后来又一次在其他机器上遇到这种情况，发现将C:\Windows\SoftwareDistribution\文件夹下的所有文件清除也没有什么问题，这样更快更直接。因为此文件夹下还有自动更新下载下来的一些文件，在download文件夹下。如果时间很长的话，这个文件夹一般文件比较多也比较大。后来在网络上又发现一篇文章，说的解决办法如下：
& 1、首先结束占用100%的svchost.exe进程，让计算机恢复正常。&
& 2、结束wuauclt.exe进程。&
& 3、进入“控制面板-管理工具-服务”，关闭AutomaticUpdates服务。&
& 4、清楚C:\WINDOWS\SoftwareDistribution所有文件。&
& 5、进入“管理工具-服务”，再启动AutomaticUpdates服务。&
& 完成上述操作后重启电脑，问题一般都可以解决。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：798520次
积分：7723
积分：7723
排名：第1624名
原创：111篇
转载：176篇
评论：93条
(1)(1)(2)(1)(2)(1)(1)(3)(2)(2)(1)(3)(1)(5)(2)(8)(3)(1)(1)(4)(5)(4)(6)(8)(3)(11)(2)(3)(1)(2)(2)(4)(4)(2)(2)(2)(3)(1)(7)(7)(4)(1)(1)(4)(1)(1)(3)(4)(3)(2)(5)(3)(1)(6)(2)(2)(3)(1)(2)(8)(1)(6)(5)(4)(4)(10)(25)(9)(11)(5)(6)(2)(7)(7)(13)}