In der Regel tragen sich solche Viecher in der Registry ein, damit sie immer wieder gestartet werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\ und dann in den Schlüsseln \Run und \RunService gucken. Dort findet man meist einen Eintrag, den man nicht zuordnen kann, da es sich um einen völlig kryptischen Dateinamen handelt. Alarmstufe Rot ist angesagt, wenn dort Einträge zu "WindowsUpdate" oder "UpdateScheduler" stehen, da es meist Fakes sind.
Im Zweifelsfalle rate ich dazu die Einträge zu löschen, denn reguläre Anwendungen kann man nachinstallieren, Viren und Co. sollen ja weg
