Isso, na verdade, pode ser o resultado de malware. Svchost.exe é comumente usado para gerar processos de malware. Em alguns casos, o svchost pode realmente dificultar a localização do programa ofensivo sem mergulhar em um bom detalhe.
O TCPView é útil para ver quais processos estão conversando, o Process Explorer possui uma guia de histórico de E / S que também é bastante útil para este processo. Também recomendo usar o filemon para determinar quais arquivos estão abertos. Em muitos casos, o malware tentará impedir que você exclua / modifique seu tempo de execução bloqueando o arquivo.
Os PIDs podem ser úteis para determinar quais processos geraram outros processos.
Geralmente, quando chego a este ponto, já suspeito que existe malware e eu mato os processos, um de cada vez, até encontrar o programa ofensivo. Se o programa está falando através do fio, então uma boa indicação de que você encerrou o programa certo seria a interrupção do tráfego de rede suspeito. Alguns malwares são projetados para se comportarem muito mal, portanto, nesses casos, não é difícil identificar. Processos que não consomem todos os recursos do sistema e não estão "ligando para casa" em toda a Internet são os mais difíceis de detectar na natureza.