Как-то так

Ловили вирус у коллеги. Он создает 2 процесса, дампится и хранит свои файлы в Local Settings/temp. Херит какую-то из библиотек amon NODа, отчего у последнего начисто отрубается система мониторинга. Один из создаваемых процессов гордо именуется svhost, весит метров 20. Вирь успешно убит добрым и внезапным способом запрещения системе соваться в temp. Вполне может быть, что он также известен под именем datacom.dll.