Das ist das Problem Du weißt ja auf jeden Fall, welche Instanz der svchost.exe es war .. eben meine ich die PID 900 gesehen zu haben, aber die ist ja sowieso immer verschieden.
Jetzt kann man leider anhand des Prozesses nicht so genau sagen, welche Dll in diesem aktiv ist. Mit dem Prozessexplorer kannst du aber die geladenen Module auflisten. Guck da mal bei dem Prozess durch, ob du eine Dll findest, die "Autoruns" auch unter Services auflistet. Fals das nicht geht könntest du nur noch mit z.b. HxD den Speicher des Prozesses nach Dll Namen durchsuchen und hoffen, dass ersichtlich werden kann, welche Dll im Host-Prozess aktiv ist.