Все копии svchost.exe запускаются системным процессом
services.exe. Вызовы svchost.exe для сервисов указаны в ключе
реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
<Service> (где
<Service> имя сервиса) в поле ImagePath; например, сервис
ComputerBrowser (имя сервиса
Browser) вызывается как %SystemRoot%\system32\svchost.exe -k netsvcs. При этом группировка процессов осуществляется на основании данных ветви реестра HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost, где каждый ключ соответствует имени группы, а значение ключа — списку (через
пробел) имён сервисов относящихся к группе.
[править] Вирусная активность
Некоторые
компьютерные вирусы и
трояны маскируются под имя svchost.exe, помещая исполняемый файл в отличный от system32 каталог, например, Net-Worm.Win32.Welchia.a, Virus.Win32.Hidrag.d, Trojan-Clicker.Win32.Delf.cn
[1]. Верным признаком наличия такого вируса является запущенный от имени пользователя "svchost.exe". Системный "svchost.exe" никогда не запускается от имени пользователя, а только от SYSTEM, LOCAL SERVICE или NETWORK SERVICE. Также системный "svchost.exe" запускается только посредством механизма системных сервисом, никогда - из раздела Run реестра (таким образом, он не должен присутствовать на вкладке Автозагрузка msconfig).Также возможно создание службы, использующей настоящий Svchost, но выполняющей вредные действия, например, так делает вирус kido
cmaks,Вам сюда внимательно читаем и выполняем
http://pchelpforum.ru/f26/t6442/#post37758 потом ждем заключения 01pump