查看: 11465|回复: 7
windows7旗舰正版，svchost.exe进程一直占用CPU太高的问题，请教达人。。。
燃烧的木头
本帖最后由 燃烧的木头 于
09:41 编辑
电脑一开机15秒后cpu就占用50%-70%,关闭所有正在使用的程序后，cpu占用依旧在40%左右，任务管理器打开，进程中一查发现有很多svchost.exe进程，其中的一个稳定占用cpu35%，很长时间都是如此，其用户名是local service，我尝试用任务管理器强制结束后，并没有明显的问题，但是在玩CF的时候，会周期性的卡住一秒，非常有规律；其他的软件暂时没有发现问题，杀毒软件全盘扫描，内存扫描都没有发现问题，我想请教一下现在该怎么办?
对应的服务
所有的svchost.exe进程信息
QQ截图11.jpg (33.66 KB, 下载次数: 0)
09:40 上传
QQ截图21.jpg (5.34 KB, 下载次数: 1)
09:40 上传
本帖最后由 mmyj 于
16:17 编辑
给LZ提供个参考，可以使用命令行查看到底是是什么服务什么进程在使用。
开始-》所有程序-&附件-》命令行提示符，在窗口中输入:
tasklist /svc
mmyj 发表于
给LZ提供个参考，可以使用命令行查看到底是是什么服务什么进程在使用。
开始-》所有程序-&附件-》命令行提 ...
XP下怎么查看
熟悉服务的话可以关闭一些不需要的系统服务
试试这个进程查看
本帖最后由 lzp0902 于
18:55 编辑
/windows/win/1923.html
楼主看下是否属于这种类型
症状现象描述：
机器启动运行几分钟后 svchost.exe就会占系统cpu资源的100%
拔掉网线就好了，重连上网后一会儿：svchost.exe又占cpu资源的99%；
解决方法：
假设你已经使用了免费杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件的影响：
想办法清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。（C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录）
如果机器提示文件正在使用（&Automatic Updates&服务正在运行）无法删除相应目录：
则想办法打开控制面板==&管理工具==&服务，找到&Automatic Updates&，设置成手动启动，
重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
然后再打开控制面板==&管理工具==&服务，找到&Automatic Updates&，恢复成自动启动重启。
注意：重启后最好在上网条件比较好的地方让系统顺利完成一次系统自动更新。
右键那个进程，先查看下对应的服务
nowtoo 发表于
XP下怎么查看
LZ说的是Win7。XP一样有这个命令（这个印象中在SPX后就有，未打SP包的没有），一样能看，如果没有的话，可以找安装盘下的Support\tools目录下的Spport.cab, 提取里面的tlist.exe,&&用它来查看。
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,Svchost.exe占用内存过大解决
Svchost.exe病毒的简单处理　　
　　1.当发现Svchost.exe不在%systemroot%\System32目录中的，可以安全删除，同时在注册表中查找对应的注册项删除掉。&或用tasklist/svc命令查看svchost.exe
右边的服务是不是“暂缺”，是的话为中毒了。
　　2.Svchost.exe在%systemroot%\System32目录，说明Svchost.exe是被病毒感染了，可以用杀毒软件清除。&
　　注：清除和删除要分清楚，清除是清除病毒，删除则是删文件
　　svchost.exe到底启动了那些服务？&
　　如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看。例如在Windows
XP中，打开“命令提示符”，键入tasklist /svc命令查看；在Windows 2000中，则输入“Tlist
-S”命令来查看。如果&
　　如果你在Windows XP中，想得到所有进程的详细信息，可以打开“命令提示符”，键入　tasklist
/svc&abc.txt
命令，于是在当前目录中，将会生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务。&
　　Svchost.exe病毒的清除方法：
　　1、用unlocker删除类似于C:\SysDayN6这样的文件夹：例如C:\Syswm1i、C:\SysAd5D等等，这些文件夹有个共同特点，就是名称为
Sys*** （***是三到五位的随机字母），这样的文件夹有几个就删几个。&
　　2、开始——运行——输入“regedit”——打开注册表，展开注册表到以下位置：&
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run&
　　删除右边所有用纯数字为名的键，如&
　　&66&&C:\SysDayN6\svchost.exe&&
　　&333&&C:\Syswm1i\svchost.exe&&
　　&50&&C:\SysAd5D\svchost.exe&&
　　&4&&C:\SysWsj7\svchost.exe&&
　　3、重新启动计算机，病毒清除完毕。&[1]
假设你已经使用了杀毒软件排除了病毒和已经使用反间谍软件排除了恶意软件的影响：
清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。
（C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录）
如果机器提示文件正在使用（"Automatic Updates"服务正在运行）无法删除相应目录：
则先打开控制面板==&管理工具==&服务，找到"Automatic
Updates"，设置成手动启动，
重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
然后再打开控制面板==&管理工具==&服务，找到"Automatic
Updates"，恢复成自动启动重启。
引起进程飙满的原因是由于Windows
Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用，从而表现为svchost.exe负载极高。另外正版XP此发病率极高~！看来正版也不是那么好用地~!
关闭svchost.exe任务总结
服务使用情况可以察看或操作的为以下五处
运行regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
可以看到所有服务的英文名简称，与任务管理器里的映像名称一致
&&2)&&&HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SvcHost
右边的窗口可以看到所有分了类的svchost的服务，所有的svchost.exe允许的服务都列在分类中，如果用tasklist发现有不属于的服务则很可能是木马。所有服务如果全部打开肯定达到或者超过8个svchost.exe，所以即使有这么多svchost.exe也不一定代表中招。
运行services.msc
看到的都是所有可用服务的详细英文名，表面上是看不出哪些属于svchost.exe的。
3、当前运行的服务
运行cmd进入命令行
输入tasklist /svc (win2000输入tlist -s)
查看所有当前进程所对应的服务的详细信息。
4、当前运行服务
运行taskmgr或者ctrl+alt+del
可以查看服务映像名，PID以及占用cpu和内存
5、启动服务
运行msconfig 服务选项卡，可以更改下一次启动的服务
4查看svchost.exe服务如下，一个svchost多余两个服务则用途略去，按照我后面写的方法自己去查吧
图像名&&&&&&&&&&&&
服务&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&用户名&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
svchost.exe&&&&&&&&&&&
DcomLaunch,
TermService&&&&&&SYSTEM
svchost.exe&&&&&&&&&&&&&&&&
RpcSs&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&NETWORK
SERVICE&&&&
提供终结点映射程序(endpoint mapper)以及其它 RPC服务
svchost.exe&&&&&&&&&&&&&&&&&AudioSrv,
Dhcp等一堆&&&&&SYSTEM
svchost.exe&&&&&&&&&&&&&&&&
Dnscache&&&&&&&&&&&&&&&&&&&&&&&&&&&&&NETWORK
SERVICE&&&&
为此计算机解析和缓冲域名系统 (DNS)
名称svchost.exe&&&&&&&&&&&&&&&&&RemoteRegistry&&&&&&&&&&&&&&&&&&&&&&LOCAL
SERVICE&&&&&&&
使远程用户能修改此计算机上的注册表设置
svchost.exe&&&&&&&&&&&&&&&&
LmHosts, SSDPSRV,
WebClient&&&&LOCAL
svchost.exe&&&&&&&&&&&&&&&&
usnsvc&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&SYSTEM&&&&&&&&&&&&&&&&&&Messenger
上安装的启用共享情况的服务svchost.exe&&&&&&&&&&&&&&&&
stisvc&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&SYSTEM&&&&&&&&&&&&&&&&&&为扫描仪和照相机提供图像捕获。
以上所有svchost服务都能在注册表(2)里找到分类。
如果有svchost.exe对应的服务暂缺那一定是感染了木马程序，根据PID在任务管理器中停止。然后到启动服务里查看有没有需要在下一次开机时关闭的恶意服务。
同时在windows目录下搜索svchost.exe，正常情况下只有system32和system32\dllcache里有svchost.exe，如果其它文件夹比如system32\wins下的话那一定是木马程序了。不过这种情况下一般用kaspersky扫描critical
areas能够扫描出来的。
强烈建议关闭RemoteRegistry服务，以免被操作注册表。usnsvc也没啥用。stisvc如果不使用扫描仪也可以关闭，这样任务管理器中应该只有4个svchost.exe。如果LmHosts,
SSDPSRV, WebClient&对应的打开就是5个。
关闭服务方法
关闭时首先打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services位置，找到相应的服务映像名，比如stisvc，在右边的窗口里点击Description可以了解该服务的用途，点击DisplayName可以了解该映像名对应的完整服务名称即Windows Image Acquisition
运行services.msc，找到该Windows Image Acquisition (WIA)加以禁用和关闭。
运行msconfig找到Windows Image Acquisition (WIA)取消钩选。
搜索注册表的目的就是为了将在任务管理器和tasklist出来的服务映像名和在services管理器里的完整服务名对应起来，便于定位和操作。
svchost以外的服务也可以根据这个方法进行操作。
附用到的命令：
services.msc
&——打开服务管理器（或在控制面板--》性能维护--》管理工具--》服务）
tasklist/svc —— 查看进程对应的服务
运行】regedit ——查看注册表
运行】msconfig——修改启动项或启动服务
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。高手揭密svchost.exe是什么进程
　　网上有很多关于是什么进程，svchost.exe是什么病毒，svchost.exe占用cpu100%或占用大量内存，svchost.exe有十几个，svchost.exe偷偷连网很象木马的问题，本文提供关于svchost.exe进程的所有信息和用各种专业软件进行查杀的方法。
　　Svchost.exe是微软视窗操作系统里的一个系统进程，管理通过Dll文件启动服务的其它进程，一些病毒木马伪装成系统dll文件通过Svchost调用它，试图隐藏自己。每个svchost可以同时调用多个dll文件，启动多个服务。
　　２）svchost.exe文件的位置
　　svchost.exe位于C:\WINDOWS\system32文件夹下面（假如你的系统安装在C:\WINDOWS目录），同时在C:\WINDOWS\system32\dllcache下面有一个备份。
　　３）svchost.exe进程应该有几个
　　Windows 2000有2个以上svchost进程，Windows XP有4个以上，Windows Vista系统svchost进程有12个以上。因此在任务管理器里看到多个svchost.exe并不代表他们就是病毒。
　　C:\WINDOWS\system32文件夹下面的svchost.exe文件，病毒一般是无法替换的，除了这个目录和C:\WINDOWS\system32\dllcache目录，其它目录下面都不应该存在svchost.exe文件，如果有不是病毒就是木马，可放心删除。如果无法删除，请用(/.html)等软件强行删除。
　　此外由于svchost.exe中间的o容易被0（零）冒充，所以有不少蠕虫，病毒冒充，它们的名字有：svch0st.exe、schvost.exe、scvhost.exe，要注意仔细辨别，防止漏网之鱼。
　　５）查看通过svchost.exe启动的病毒
　　查看通过svchost.exe启动的服务有多种方法，在Windows 2000中，可以运行cmd，然后输入tlist -s命令来查看，在Windows XP和Vista中，可以通过tasklist /svc命令查阅。
　　除了以上两个命令，还可以通过（）查看，如图：
　　左边是svchost.exe和通过其启动的服务列表，选中一项可以在右边查看详细信息，如当前svchost.exe启动了AudioSrv, BITS, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibility, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, winmgmt, WZCSVC等服务，其中Browser服务是通过C:\WINDOWS\system32\svchost.exe -k netsvcs命令启动的，描述是：维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
　　OK，这些描述都是这个dll文件自称的，任何病毒都可以这么写，那么我们如何知道Browser服务是svchost.exe调用的哪个dll文件启动的呢？svchost viewer并没有告诉我们。
　　这时我们可以通过（）软件来侦察，启动Process Explorer后，主窗口会列出所有运行的进程，鼠标移动上去会显示进程对应的文件的完整路径，和它启动的服务（如果有的话），如图：
　　我们选中服务最多的那个svchost.exe进程，右键菜单查看属性（Properties），单击Services（服务）标签，可以看到熟悉的列表了：AudioSrv, BITS, Browser…等等服务尽收其中，Browser是c:\windows\system32\browser.dll提供的服务。如图：
　　大部分服务的dll文件都位于c:\windows\system32目录，如果在什么C:\Program Files甚至是D盘E盘的，就要小心了，十有八九是个木马！如果我们怀疑一个dll不正常，可以通过Google或者百度搜索，还有一个专门的网站是用来查询exe和dll文件信息的：。
　　６）用360安全卫士查看svchost.exe进程
　　如果你嫌上面的方法麻烦，或者已经安装了360安全卫士（官方网站：)，则可以直接在【软件管理】->【正在运行】里面查看，如图：
　　360给出了每个进程占用内存的情况，调用的dll文件，是否安全等信息，非常周到。
　　７）svchost.exe占用cpu100%的问题处理办法
　　通常情况下，网络不好时Windows自动更新服务可能会失败，导致其反复重试，结果CPU负载极高。其表现为：系统启动几分钟后 svchost.exe就会占100%　cpu资源，但是拔掉网线就好了。
　　解决办法：删除C:\WINDOWS\SoftwareDistribution下面所有的文件重启机器，如果提示”Automatic Updates”服务正在运行”无法删除， 打开控制面板->管理工具->服务，找到【自动更新（Automatic Updates）】，设成手动更新或者关闭自动更新，然后重启机器，删除C:\WINDOWS\SoftwareDistribution下面的文件，这时再在控制面板里恢复自动更新设置。
　　８）强行关闭svchost进程
　　如果你怀疑某个svchost进程是冒充的病毒，或者占用了90%以上CPU，可以强制杀死它。
　　运行CMD后在dos窗口输入ntsd -c q -p 800即可杀掉Svchost进程（假设svchost.exe进程的PID是800）。
　　（要查看PID，在windows任务管理器里单击菜单【查看】->【选择列】，勾选PID (进程标识符)确定即可）
　　ntsd命令可以杀掉任何一个System/SMSS.EXE/CSRSS.EXE以外的进程，即使你用任务管理器杀不死。
别忘了分享给好友或转载哦！转载请复制下面两行内容：
原文链接：
原文地址：/.html
BTW，转载超过20篇需经本人书面许可。
相关文章：
热门文章：
评论无限期关闭
Copyright &
Inc. All rights reserved.
Computer and Software make your life easier.
24 queries in 0.082 seconds.503: Service Unavailable
503: Service Unavailable
访问太频繁了，服务器要炸。如果您是搜狗浏览器，请关闭预读功能。