C'è un meccanismo in Windows che aggancia il processo di avvio per caricare determinati driver o altri processi di sistema critici all'avvio. Se il computer è infetto da un rootkit, probabilmente fa qualcosa di simile per riconfigurare il kernel di Windows per eseguire l'offerta del rootkit.
A seconda di come viene impostato, l'eliminazione dei file associati non rimuove il malware in modo pulito, ma porta invece a un errore STOP (schermata blu) all'avvio con un sistema non di avvio. Molto probabilmente, questo malware si inietterà nelle configurazioni "last known good" e "safe mode", il che significa che l'unico modo per "pulire" il sistema significherebbe usare un disco di avvio alternativo e districare scrupolosamente il disordine risultante. Il livello di esperienza che questo richiede di fare correttamente è in qualche modo alla pari con "sviluppatore del kernel Windows con molta esperienza."
Anche se non lo è, in senso stretto impossibile pulire adeguatamente un sistema pesantemente infetto, è straordinariamente difficile, soggetto a errori, e di solito molto più costoso che ricominciare da capo.