Угу, ясно, но инфы мало, потому - в общем это так делается:
1. Раз постоянно подменяется что-то, что ты исправляешь, то значит, ОНО сидит в памяти и исправляет.
2. Раз так - смотрим, что там. Находим гадость. Записываем, как её зовут (пример - SexyQue.exe -> USER).
3. Одновременно лезем в
HKLM->Software->Microsoft->Windows->CurrentVersion->Run
HKLM->Software->Microsoft->Windows->CurrentVersion->RunOnce
HKLM->Software->Microsoft->Windows->CurrentVersion->RunServices
HKLM->Software->Microsoft->Windows->CurrentVersion->RunServicesOnce
...и смотрим, что за хрень там у нас грузится.
4. Убираем эту гадость из всех четырёх веток. И все другие гадости - тоже. Оставляем только то, что надо.
5. Заодно запускаем поиск по реестру, хай найдёт все упоминания об этой хрени. Всё найденное множим на нуль.
6. Ребутаемся, хай выгрузит свою тушку из памяти.
7. Загрузились. Надо сделать последний штрих: найти эту сволочь на диске (мы ж её записали!) и прибить.
Последнее необязательно.