Это действительно может быть результатом вредоносных программ. Svchost.exe обычно используется для порождения вредоносных процессов. В некоторых случаях svchost может фактически затруднить поиск программы-нарушителя, не вдаваясь в подробности.
TCPView удобен для наблюдения за процессами, проводящимися по проводам, в Process Explorer есть вкладка истории ввода / вывода, которая также весьма полезна для этого процесса. Я также рекомендовал бы использовать filemon, чтобы определить, какие файлы открыты. Вредоносное ПО во многих случаях пытается помешать вам удалить / изменить его среду выполнения, заблокировав файл.
PID могут быть полезны при определении того, какие процессы породили другие процессы.
Обычно, когда я достигаю этой точки, я уже подозреваю, что существует вредоносное ПО, и я убиваю процессы по одному, пока не найду нарушающую программу. Если программа разговаривает по проводам, то хорошим подтверждением того, что вы остановили нужную программу, будет прекращение подозрительного сетевого трафика. Некоторые вредоносные программы спроектированы так, чтобы вести себя очень плохо, поэтому в этих случаях их нетрудно обнаружить. Процессы, которые не потребляют всех системных ресурсов и не «звонят домой» по Интернету, являются наиболее сложными для обнаружения в дикой природе.