在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]项，找到类型为“REG_EXPAND_SZ”的键“magePath”，其键值为“%SystemRoot%\System32\svchost.exe -k netsvcs”(这就是在服务窗口中看到的服务启动命令)，另外在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll”，其中“pchsvc.dll”就是helpsvc服务要使用的动态链接库文件。这样SVCHOST进程通过读取“helpsvc”服务注册表信息，就能启动该服务了。

　　Svchost到底启动了哪些服务？

　　如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看。例如在Windows XP中，打开“命令提示符”，键入tasklist /svc命令查看；在Windows 2000中，则输入“Tlist -S”命令来查看。

　　如果你在Windows XP中，想得到所有进程的详细信息，可以打开“命令提示符”，键入　　tasklist /svc>abc.txt 命令，于是在当前目录中，将会生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务。

　　如何发现Svchost进程有问题？

　　由于Svchost进程可以启动各种服务，因此病毒、木马也经常伪装成系统的DLL文件，使Svchost调用它，从而进入内存中运行、感染和控制电脑。

　　建议你使用“Windows优化大师”进程管理器（可以到《个人电脑》的下载频道http://download.pcpro.com.cn的“系统工具”中去下载），查看所有Svchost进程的执行文件路径（如图3），正常的Svchost文件应该存在于“c:\Windows\system32”目录下，如果你发现其执行路径在其他目录下，就有可能染上了病毒或木马了，应该马上进行检测和处理。

图3

　　Svchost进程杀不掉怎么办？

　　如果有些Svchost进程，你在任务管理器中无法关闭之，可以使用ntsd命令来杀掉它，方法如下：

　　首先需要了解欲杀的Svchost进程，其PID是多少？在Windows XP下，按Ctrl+Alt+Del打开任务管理器，点击“进程选项卡”|“查看”|“选择列”，在弹出的窗口中（图4），勾选“PID（进程标识符）”，然后回到任务管理器中，即可看见PID了（例如要杀的Svchost进程，其PID是844）。

图4

　　接下来关闭该进程。点击“开始”|“程序”|“附件”|“命令提示符”，在命令提示符下，输入命令ntsd -c q -p 844即可杀掉Svchost进程（PID是844）。

　　小提示：除了System、SMSS.EXE和CSRSS.EXE这三个进程，ntsd命令可以杀掉任何一个系统进程。从Windows 2000开始，微软就提供了ntsd工具，该命令执行后，可让你获得系统的debug权，因此能够用来关闭大部分的系统进程，如果你遇到无法关闭的进程，就可以使用该命令，其杀进程的命令格式为：ntsd -c q –p  XXX

　　以上XXX为欲杀进程的PID；

　　ntsd  –p  XXX   表示在调试器中打开某进程（PID为XXX）；

　　而-c q参数则表示退出调试器。由于调试器关闭之后，它打开的进程会随调试器一起退出，因此ntsd命令能够关闭进程。

　　(原文链接: http://www.xibaipo.gov.cn/node2/node17/node1081/userobject1ai412189.html)