Смотрел каждый запущенный процесс - какой файл запускается, где живет, у подозрительных просматривал вьювером код. Ну, svhost32.exe сразу насторожил своим именем. Лечение простое - остановить процесс svhost32, и прибить его местоположение и порождающий процесс в SYSTEM32 (кстати именно здесь и живет вся тварь) далее почистить реестр все что касается этих процессов.
(«Телесистемы»: Конференция «Микроконтроллеры и их применение»)