[Greyman]

По симптомам это не может быть червь. Червь должен был бы быть на серваке, если он есть. Если же какая-то дрян на самом АРМ, то это троян. Я же и говорю, что вряд ли это действительно что-то специально вредоносное. ИМХО это все же что-то штатное, либо ошибка программиста конкретного приложения одной из запущенных библиотек. Вот только определить именну ту биллиотеку, на которую идет соединения, из-за мелкософтовской идеи "укрупнения" можно только путем отладки, просматривая куда потом передает svhosts пришедший сетевой запрос. Как это сделать более простым способом - понятия не имею... Может со временем и появится соответствующий ПСЭ, позволяющий отслеживать движение сетевых запросов на более низком уровне процессов, чем это предусмотрено маздаевцами...

Хм-м-м... Совсем забыл про снифферы... Можно же перехватывать соответствующие запросы, а потом анилизировать с целью того, чтобы определить куда они идут. Правда это будет нудная и ручная работа...