Перво-наперво, это папка автозагрузка (startup). Но вероятность нахождения там чего-либо подозрительного очень мала. Большинство троянских программ прописывают себя в реестр в следующие секции:
HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftware MicrosoftWindowsCurrentVersionRun
Кроме того, существует еще возможность записаться в файл Win.ini в секции load и run. Стоит отметить, что серезный продукт может замаскироваться под стандартный модуль Windows (DLL VXD...), и в этом случае ничего подозрительного в секциях автозапуска найти не удастся.
Кстати, уважаемые игроки и игруны в Quake3. Специально для вас (из списка рассылки News Bytes):
"Компания Internet Security Systems (ISS) (http://www.iss.net/) сообщила об идентификации бреши в защите сетевой игры Quake3 Arena производства id Software. Из-за этой дыры хакер с сервера Quake3 Arena может читать и записывать файлы на компьютере пользователя, в том числе файлы конфигурации. Как сообщается, администраторы ЛС могут даже не знать, что пользователи их сетей получают доступ к потенциально опасным серверам Quake3 Arena. Такая дыра появилась после того, как 15 марта было выпущено обновление 1.16 для Quake3 Arena, в которое включена функция автоматической загрузки. Таким образом, владелец сайта Quake3 Arena может устанавливать на компьютеры подключающихся к нему пользователей троянских коней, считывать его пароли и файлы и изменять файлы по своему усмотрению. ISS рекомендует пользователям серверов Quake3 Arena для предотвращения потенциальных атак отключить функцию автоматической загрузки. Это можно сделать, выбрав в главном меню пункт "setup", а затем - "game options". В этом случае обновления пользователю придется производить вручную, но при этом можно будет проверять загружаемое ПО на наличие троянских программ.