Обычно "такие файлы" попадают в папочку Temp,
которая является временным хранилищем файлов,
после запуска малварь копирует себя в различные места,
производит подмену системных файлов (или не производит =\ ).
Суть в том, что изначальная вредоносная vbs/bat/sfx/exe остается в этой папке.
Поэтому стоит очистить кэш и мониторить автозагрузку.