Ну вобшето так и должно быть по дефолту svchost.exe входит в систему либо под system либо под local services или network services в зависимасти от того какие службы работают в его адресном пространстве, а вот как раз если он работает от узера это уже подозрительно, а вобше у нас в сетки сейчас весит пару машинок зараженых этим самым kido(он же Conficker), паляться они тем что открывают порт(почему то у всех именно 80) и также тем что пытаються шары сканировать по сетке(у меня за день в логе фаервола 5-6к записей про то что с этих машин пытаються шимится ко мне), а где то дней 8 назад касперский начел вежать что у меня процесс svchost.exe пытаеться получить доступ(вернее запустить) к вирусу kido, я долго чесал репу в чем дело, немного погуглив понял что это самый kido переполняет буфер в netapi32.dll(которая кстати гружиться в svchost.exe ) с дальнейшей подгрузкой файлов по сетки с этих самых зомби машин и вот и отсюда каспер висжит на svchost.exe, скачал заплатку + поставил файер на всякий пожарный и все ок.

Вот этот способ поможет наверника для kido

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=21782749