[Valeant]

J-Pro,
По поводу Ad-Aware - очень хорошая программа, только та что старенькая SE, только к ней поновей базу файл defs.ref, очень хорошо справляется с возложенной на нае задачей.

Цитата:

Да, все нужны. Я же не буду ставить их для смеха

??????

Все svchost запускаются процессом services.exe. Используется единый процесс для работы нескольких сервисов (хорошо видно в ProsessExplore расположив столбец Process в виде дерева нажав лев.кн.мыши несколько раз на данном названии столбца)
В ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services перечислены все сервисы данной системы, в поле ImagePath видна команда запуска .

Например
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess
ImagePath = %SystemRoot%\system32\svchost.exe -k netsvcs

Некоторые вирусы, трояны и т.д. маскируются под имя svchost, замещая настоящий на свою копию.
Или даже используют способ загрузки через драйвера, устанавливая свой драйвер в систему и запуская его при запуске системы.

Цитата:

J-Pro, но может ли вирусоносная длл-ка может заставить svchost.exe(к примеру) коннектиться куда-то на свой адрес? Или для этого обязательно должен быть заражён(изменён) сам файл svchost.exe?

Не обязательно.

Цитата:

J-Pro, происходит циклическое однообразное обращение к диску на протяжении от 10 до 20 минут.

На что бросаются глаза так это Length 512
Наверное надо было бы начать с начало, а установлены ли драйвера на материнку, а в каком режиме работает винт PIO или UDMA? А с какой скорость копируются файлы куда нибудь?
И не как не пойму по ProcMon полное название операции Read....., есть операции чтения через FAST_IO_ напрямую, или IRP_MJ_ через драйвер. У вас версия какая.

Данной программой Unhackme не пользовался, достаточно хорошая autoruns.exe из этой же серии где в закладке Service и Drivers и Logon ищем все подозрительное.