На очередной машинке юзера столкнулся с проблемой нереального его торможения. Комп тупит из-за жрущего весь процессор файла — svchost.exe. Сразу же полез в Autoruns? смотреть строки userinit и winlogon. Но и там и во всех ключах реестра никого подозрительного на нашел.
Скачал свежий cureit!. Прогнал машинку и вуаля.
Вирус лежал в папке автозагрузки юзера и маскировался под нормальный процесс igfxtray.exe. По всей видимости вытащив его из реестра и подменив собой, что и сбило меня с толку. Что делал вирус мне не известно, так как других его провялений, кроме торможения компа, я не заметил.
Файл успешно убился и система начала снова работать в нормальном режиме.
У меня вопрос, а если несколько таких процессов svhosst.exe как определить где вирус, который копирует и запускает копии данного процесса?