многие вири и трои любят записываться в:
[HKLM\Software\Microsoft\Windows\CurrentVersion] в разделах: \Run, \RunOnce, \RunServices, \RunServicesOnce,
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit], а также в
[HKCU\Software\Microsoft\Windows\CurrentVersion] в разделах \Run, \RunOnce, \RunServices, \RunServicesOnce
Также троян может запустится, если в ветке HKCR его привязать к определенному типу файлов на открытие или редактирование.
Например, если выбрать любой bat-файл, кликнуть его правой кнопкой и выбрать "Изменить", по умолчанию запускается notepad.exe.
Это задается в [HKCR\batfile\shell\edit\command]. Также к этому могут быть причастны ключи реестра RestrictRun, DisallowRun. Обзор методов автозапуска самых популярных вирей на данное время, точнее тех, которых знает антивирус.
Можно было описать еще десяток вирусов, но эти три демонстрируют основные методы записи.
1.
К примеру, Trojan-Downloader.Win32. AutoIt.fn (22 декабря, 2008) , пишется для автоматического запуска в:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
///Например, можно спутать с csrss.exe, часть пользовательской Win32 подсистемы. SRSS - сокращение
///от "client/server run-time subsystem" (клиент/серверная подсистема).
///csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
и
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe" , просто и со вкусом, запускается каждый раз при старте эксплорера (не_интернет).
2.
Червь Net-Worm.Win32. Gimmiv.a (22 декабря, 2008) , запускает себя немного по-другому.
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ
автозапуска системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\sysmgr]
При следующей загрузке Windows исполняемый файл червя будет запущен как служба, а его оригинальный исполняемый файл удален.
3.
Трой Trojan-Notifier.Win32. VB.m (22 декабря, 2008) , написанный на VBasic, исспользует уже знакомую процедуру:
для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл
в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"popuppers" = "<путь к оригинальному файлу трояна>"
После запуска троянец пытается удалить ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
loads.exe
mediamotor.exe
Всё шито крыто, не подкопаешься.. =)
А вот так мы прячемся, путем изменения параметров.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
и
[HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и попок.
Исходя из деструктивных действий рассмотренных вирусов, а также семейства подобных, стоит запретить для пользователя
изменения параметров в следующих ветка:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit]
Также на всю ветвь HKCR также можно отменить право на запись (только под одмином).
Изменение прав доступа к реестру производится с помощью regedt32 во вкладке permissions (Правка -> Разрешения).
Итог.
Производя проверку реестра описанным методом, необходимо пройтись по всем вышеуказанным веткам реестра,
в поисках аномалий. Причем необходимо это делать в один заход, от начала и до конца по всем веткам,
иначе после перезагрузки машина останется зараженной.
Всю описанную выше процедуру я проверял на практике, вначале когда приспичило (подхватил вирус), а потом когда стало интересно.
К написанию этой мини-статьи подтолкнуло обзор вирусоф и своевременное прочтение интересной книги
ЗЫ статейка ни на что не претендует, так.. в помощь людям подцепившим вирусню, которым религия не позволяет юзать онтевирус
Кроме того, программы, зависящие от реестра придется переустанавить. 
Что делать???