По этому поводу:

1)Есть две программы от Марка Руссановича RegMon и FileMon (вроде бы так называются) с помощью последней можно отследить обращение процессов к файлам, а первой к веткам реестра. Но имхо это так долго будет, по скольку логи данных прог очень большие, обращения много очень, если только фильтрацию ставить на процессы определенные. У меня вроде бы были эти программы , если найду выложу, просто не успею сейчас на учебу надо))

2) Надеюсь , что ты попробовал удалить из всевозможных автозагрузок всякое лишнее?!. Вообще если данная проблема у тебя недавно попробуй восстановление системы к более ранниму состоянию сделать. Если не одной контрольной точки не будет, то это 100% вредоносное ПО..