Si está en el registro, no importa cuantas veces desactive el proceso y lo elimine, cáda vez que reinicie windows le va a volver a aparecer... Hijackthis y alguno de los antivirus livianos le vendría bien.
pero eso eso escencialmente lo que hace la utilidad de configuración del sistema! dirijirte a la ruta del incio de windows, si lo sacás de ahí no se carga más. Para ahorrar el trabajo de ir a HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run para remover la aplicación del inicio.
Te dejo 2 programas para tener el control absoluto sobre tu pc: Hay una forma de borrar los archivos que se estan usando y es con el Unlocker, bajatelo de http://ccollomb.free.fr/unlocker/download.php es la pagina oficial asi q no tiene virus Otro: El CurrentVersion\Run es un buen lugar para empezar, y en verdad hay dos de esos, uno en HKEY_LOCAL_MACHINE y otro en HKEY_CURRENT_USER, pero hay otros lugares que windows carga al ejecutarse y que para colmo no aparecen en msconfig ni en el TuneUp Utilities asi que para estos casos pegale un vistazo al Autoruns: http://download.sysinternals.com/Files/Autoruns.zip Ojo!! en el menu activa la opcion "Hide Microsoft entries" asi te deja todo lo que no es crucial, pero aun asi anda con cuidado
si en XP aparecen nuevas rutas de registro para los servicios. A ver hoy como no me acordaba exactamente la ruta del inicio googlie poniendo hkey local machine y hallé algo interesante Spoiler En el registro de windows, tenemos varias ramas del mismo donde podremos buscar el virus que se autoarranca con el sistema... vamos a ver algunas de ellas (las mas usuales) HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunServices Ahi en las claves,buscaremos archivos extraños ejecutandose que no sean del sistema, y los eliminaremos (ojo con lo que borramos) Tambien, rizando el rizo podemos buscar por: HKEY CLASSES ROOT\exefile\shell\open\command @="\"%1\" %*" HKEY CLASSES ROOT\comfile\shell\open\command @="\"%1\" %*" HKEY CLASSES ROOT\batfile\shell\open\command @="\"%1\" %*" HKEY CLASSES ROOT\htafile\Shell\Open\Command]@="\"%1\" %*" HKEY CLASSES ROOT\piffile\shell\open\command @="\"%1\" %*" HKEY LOCAL MACHINE\Software\CLASSES\batfile\shell\open\command@="\"%1\"%*" HKEY LOCAL MACHINE\Software\CLASSES\comfile\shell\open\command]@="\"%1\"%*" HKEY LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command@="\"%1\"%*" HKEY LOCAL MACHINE\Software\CLASSES\htafile\Shell\Open\Command@="\"%1\"%*" HKEY LOCAL MACHINE\Software\CLASSES\piffile\shell\open\command]@="\"%1\"%*" Si en una de las claves, vemos modificada la misma de "%1 %*" a ... por ejemplo "XXXX.exe%1 %*", sabremos que ese mismo archivo, sera ejecutado cada vez que hagamos una llamada al sistema para ejecutar cualquier otro archivo con extension .exe, .bat, .pif, .com, o .hta Tambien tenemos otra clave del registro, en la que lo que aparezca en ella, sera automaticamente ejecutado, incluso antes que el explorer.exe (el shell del windows) HKEY LOCAL MACHINE\Software\Microsoft\ActiveSetup\InstalledComponents\KeyName En otros archivos de sistema podremos buscar tambien entradas que nos pueden ejecutar arranques de virus... · La carpeta de inicio · El win.ini · El system.ini · El autoexect.bat 1. En la carpeta de inicio, todos los programas que aparezcan, se ejecutaran al iniciarse el windows 2. En win.ini deberemos buscar, sobre todo en el apartado [windows] lo que aparezca tras los apartados load= run= 3. En system.ini en el apartado [boot] deberemos indagar lo que aparece tras la entrada shell= 3. En el autoexect.bat debemos fijarnos en algun componente extra o, que nos de una entrada similar a set XXXX=C:\WINDOWS\XXXX.exe Esto con los distintos SO de windows puede sufrir ligeras variaciones, pero basicamente es lo mismo. fuente