http://www.sysinternals.com/Utilities/ProcessExplorer.html
用这东西看当前进程有没有可疑的，如果有干掉
explorer也要干掉，因为可能已经挂接.exe 了，如果你通过windows本身的shell启动，木马会跟进的
然后http://www.kztechs.com/
用这个
修复注册表
重启

进入后，马上启动processexplorer,用Ctrl+R ---> [path]\xxxx.exe的方式打开process explorer
然后观察进程窗口，有没有木马先启动自己，然后启动其他程序的情况，不要用双击文件浏览器方式，因为搞不好还有监视的

然后要打开显示隐藏文件，然后到system32/ windows/下面隐藏的东西都瞧一下吧

顺便把他们的文件名记下，然后搜索注册表，看看里面有没有类似的键值

注意，打开regedit32时，建议用那个process explorer指定打开，如果用start->run打开，一定要输入完整的文件名，譬如regedit32.exe