hm. jest to svchost,ale startujący z cwindows. co ciekawe, ten z system32 da się usuwać, kopiować itd, a to ten z folderu głównego odwala całą standardową robotę svchosta;) coś mi tu co najmniej nie gra... a konsola odzyskiwania była odpalana spod instalatora, czy poprzez F8 przy rozruchu?


edit: juź mam! wszystko znalazłem tu:
http://securityresponse.symantec.com/avcenter/venc/data/w32.jeefo.html
wystarczyło z services.msc wyłączyć startup jednej usługi, a przy następnym uruchomieniu wywalić ten wadliwy svchost. wadliwa wersja zawiera w sobie tą dobrą i zmienia coś–tam tak, źe to, co jest odpalane przez svchost jest odpalane przez wirusa, dzięki czemu bez wyłączenia 'usługi' nie da się go wywalić.

Wezcie jeszcze raz we czterech, bo to zawsze kilka par oczu wiecej :wink: , i sprawdzcie dokladnie liste procesow czy rzeczywiscie sa tam wyszczegolnione pliki svchost a nie np. svhcost czy tez svchos1 lub inne podobnie brzmiace.
Jesli jednak rzeczywiscie jest tak jak piszesz, to pozostaje Ci albo skanowanie systemu poprzez "sfc /scannow" (jesli plik jest zmieniony, to powinien zostac wymieniony na oryginalny), albo odpalic konsole odzyskiwania i z niej zamienic svchost.exe znajdujacy sie w windowssystem32svchost.exe plikiem z windowssystem32dllcachesvchost.exe za pomoca komendy "ren". Skladnia polecenia powinna wygladac mniej wiecej tak: "ren c:windowssystem32dllcachesvchost.exe c:windowssystem32svchost.exe".

ntfs, windows xp sp1

System na FAT czy NTFS ?