Что бы определить работает ли у вас программа, которую вы не устанавливали, можно, просмотреть те разделы реестра в которых содержатся программы автоматически запускающиеся при старте Windows: строка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" - название раздела реестра. Так же нужно проверить папку: меню Пуск -> Программы -> Автозапуск и файл autoexec.bat (config.sys).

Такие программы как RegEdit.exe, Norton Registry Editor, помогут просмотреть эти разделы и строчки.

Это список разделов, позволяющих автозапуск программы при старте Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunservicesOnce

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ Current Version\Runservices

HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunservicesOnce

Во всех этих разделах необходимо просмотреть "Строковые параметры",  которые запускают неизвестные программы. Программные закладки не обязательно будут присутствовать в виде exe-файла. Например, программа для скрытой записи нажатий клавиатуры, времени/имени приложений Hookdump, после "работы", оставляет в памяти только dll.

Вы можете переименовать исполняемые файлы с любым расширением или даже убрать таковое, но  эти программы все равно  будут запустятся из строкового параметра. Но нужно быть осторожным потому, что в этих разделах также запускаются программы, которые необходимы для работы Windows.

Подраздел \SOFTWARE\Microsoft\Windows\CurrentVersion\Run существует не только в разделе HKEY_ LOCAL_MACHINE, а еще и в HKEY_USERS (HKEY_USERS\ .Default\ или HKEY_USERS\.Ваш_логин_при_старте\).

Поэтому, нужно повторить поиск разделов "Run" ("RunOn-ce", "Run... ") еще в двух главных разделах.

И это еще не все, есть еще места, откуда могут стартовать непрошеные гости: Win.ini раздел [windows], строки load, run. Утилитами  XRun, Prcview можно просмотреть процессы и удалить ненужную программу.

Можно конечно нажать Ctrl+Alt+Del, но таким образом не все процессы можно увидеть. Поскольку есть способы сделать программы недоступными по Ctrl+Alt+Del. Но это не поможет если ваш компьютенр заражен вирусом.

В какой-то степени процесс отслеживания изменений можно автоматизировать. Например, программа RegTracker из пакета нортоновских утилит, отслеживает все изменения в реестре и INI-файлах.

И еще один щит: для отслеживания изменений, появления новых файлов и т.п. полезно делать "снимок" с помощью программ-ревизоров вроде AVP Inspector-a Касперского.