Ведь если ловить все файлы, которые имеют имена по маске схожие с любым из системных процессов (типа spool*, lsas*), но при этом находятся в пользовательских директориях - то можно новые семейства всяческой дряни вырубить накорню, не имея их сигнатур.
Винда легально может в хороший день изменить 29 файлов в C:\Windows\System32 и 172 разных копии в местах вроде C:\Windows\winsxs\. Насколько я понимаю, так же в C:\Windows\ может за 15 дней изменится 50 dll-файлов. Для заражения вовсе не обязательно создавать новый файл, можно как-то изменить имеющийся, если он используется Виндовс (возможно, что это потребует добавочных файлов другого типа).
З.Ы. А SVCHOST.EXE с Win32.HLLW.Agobot я Вам легко найду.
Я не совсем про это. Дело в том что не раз сталкивался со следующим приёмом "маскировки" - создаётся файл по имени схожий до смешения с системным, но находящийся при этом в пользовательской директории (вроде %temp%, для которой запись разрешена).