Вирус часто меняют системные компоненты. explorer.exe, basesrv.dll и т.д.
Правда ли это? Неужели существуют вирусы, заменяющие Spoolsv.exe? (http://shkolazhizni.ru/archive/0/n-14979/)
Если да, дайте ссылку на описание вируса. Уж как-то не верится.
P.S. У меня принтер работает, вопрос задан из любопытства.

Правда ли это? »
И не только эти процессы переименовывают. например : svchost.exe - на похожий по названию или в имени пробел добавляется и т.д.
# Внимательно перечитайте имя подозрительного файла. Некоторые вирусы копируют себя в папку оригинального файла с другим, но очень похожим именем (например, swchost.exe). »
читать далее (http://forum.oszone.net/showthread.php?t=47499&highlight=swchost.exe)

Если да, дайте ссылку на описание вируса. »
Конкретно на ваш вопрос сюда (http://www.viruslist.com/ru/viruses/encyclopedia?virusid=118074)

И не только эти процессы переименовывают. например : svchost.exe - на похожий по названию или в имени пробел добавляется и т.д. »
Насчет C:\WINDOWS\winlogon.exe, C:\WINDOWS\system32\swchost.exe знаю. Вопрос про замену истинно системного процесса.

Конкретно на ваш вопрос сюда »
Не нашел я там про замену ImagePath в реестре.