Sysinternals Suite в помощь.
для начала с помощью autoruns.exe (autoruns64.exe) смотрим автозагрузку.
Подозриетльное отключаем/удаляем
Там же видим пути к подозрительным файлам.
подозрительно всё, что не имеет адекватного названия и описания. Всё, что автогрузится из %tmp% или профильных папок - подозрительно всегда.
З.Ы. обучением не занимаюсь.
Это сообщение отредактировал AWI - 8.02.2020 - 15:48