http://pic.citec.us/out.php/i13744_20090331182006.jpg

จากรูป พอจะบอกได้ไม๊ครับว่า svhost.exe เนี้ยคือไฟล์อะไร ตอนนี้เท่าที่สังเกต จะมีบางช่วงมันจะโผล่มาเยอะแยะมากมายเลย แล้วขณะนั้นมันจะทำให้ service vmon.exe ของ zonealarm firewall พุ่งขึ้นผิดปกติ ถ้าอย่างไรขอวิธีแก้ รวมไปถึงพฤติกรรมมันด้วยนะครับ

เบื้องต้นคือ มันต้องเป็นไม่ใช่ svchost ปกติ เพราะมันไม่ได้อยู่ที่ system32 และมันก็ pack ไว้ด้วย และสังเกตว่าตรง note มันไม่ได้บอกว่า signature present and verified
และไม่แสดง service อะไรเลย ถ้าท่าน unpack มัน แอนตี้ไวรัสน่าจะวิเคราะห์พฤติกรรมได้ ถ้ามัน pack ด้วยอะไรก็ไม่รู้ก็คงไม่เจอ และลบไม่ได้ ท่านต้อง unpack แล้วก็ revesing การทำงานของมัน แบบที่ท่านถนัดเอาเองคับ เพราะถ้ามันมีไฟล์ dll ไป inject ที่ไหน ไปอยู่ใน memory หรือไปเปลี่ยนค่ารีจิสทรีอะไรท่านก็ไปลบ ไปแก้กลับเอานะท่าน