[vunder]

Проанализируй, какие процессы "висят" в системе. Многие трояны маскируются под именами типа winsvr, winsvc, svchost (если NT-система). На NT-системе все упрощается: достаточно посмотреть, кто является владельцем процесса, т.е. тебя интересуют все процессы, запущенные текущем пользователем. Если владелец SYSTEM или LOCAL SERVICE, то все впорядке, т.к. под ними запускаются только системные службы. Троян не может быть с таким владельцем.