Hjälp att få bort Trojan.BHO

tomorrow · April 2, 2009

*********************************************

2009-06-06:

Tråden är låst då problemet är löst.

Tycker du att den är felaktigt låst, var god kontakta

Malou

*********************************************

Hej!

Har blivit infekterad av Trojan.BHO och kan inte få bort detta.

Står i nedanstående log att det skall tas bort vid reboot vilket inte sker.

Hur gör jag för att få bort elendet.

Tacksam för svar.

/tomorrow

Malwarebytes' Anti-Malware 1.35

Databasversion: 1932

Windows 6.0.6001 Service Pack 1

2009-04-02 11:55:39

mbam-log-2009-04-02 (11-55-39).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 59003

Förfluten tid: 2 minute(s), 45 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 5

Infekterade registervärden: 5

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

HKEY_CLASSES_ROOT\CLSID\{08165ea0-e946-11cf-9c87-00aa005127ed} (Trojan.BHO) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{7d559c10-9fe9-11d0-93f7-00aa0059ce02} (Trojan.BHO) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{7fc0b86e-5fa7-11d1-bc7c-00c04fd929db} (Trojan.BHO) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{abbe31d0-6dae-11d0-beca-00c04fd940be} (Trojan.BHO) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{f5175861-2688-11d0-9c5e-00aa00a45957} (Trojan.BHO) -> Delete on reboot.

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{08165ea0-e946-11cf-9c87-00aa005127ed} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7d559c10-9fe9-11d0-93f7-00aa0059ce02} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7fc0b86e-5fa7-11d1-bc7c-00c04fd929db} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{abbe31d0-6dae-11d0-beca-00c04fd940be} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{f5175861-2688-11d0-9c5e-00aa00a45957} (Trojan.BHO) -> Quarantined and deleted successfully.

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

(Inga illasinnade poster hittades)

April 2, 2009

Hej tomorrow!

Trojan.BHO är inte rolig att ha att göra med. Mycket svårbemästrad.

1: Starta om datorn

2: Uppdatera Malwarebytes' Anti-Malware

3: Starta programmet => välj Utför snabb scanning

4: Klicka på knappen Scanna

5: Scanningen kommer nu att ta en stund

6: När programmet scannat klart klicka Ok och sedan Visa resultat

7: Bocka för allt och klicka på Remove Selected

8: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

9: Gör en TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

=> Trend Micro HiJack This (Nerladdning/Instruktioner):

10: Berätta/Tala om hur datorn mår och om där kvarstår problem

Utifrån de nya loggarna så går vi vidare

MVH/Malou

April 2, 2009

Hej igen!

Gör även nedanstående procedur. Helst innan du gör proceduren jag postade här ovan.

TDSSserv Enhetshanteraren:

Windows XP-Instruktioner:

1: Gå till Start => Kör

2: Skriv/Kopiera in devmgmt.msc i körfältet => klicka Ok-knappen

Se Skärmdump:

3: Gå till Visa i menyn => bocka för Visa dolda enheter => Klicka på +Tecknet framför Icke-Plug and Play-drivrutiner

Se Skärmdump:

Leta upp nedanstående (Rödmarkerade) filer i listan

UACd

TDSSserv

UAComxjecpx

UACuwjqbouq

UACd.sys

TDSSserv.sys

UACuwjqbouq.sys

UAComxjecpx.sys

Se Skärmdump:

4: Om någon/några hittas => Högerklicka på varje fil => Välj => Inaktivera

5: Då du är klar med ovanstående => Starta om datorn

Windows Vista-Instruktioner:

1: Gå till Start => Kör

2: Skriv/Kopiera in devmgmt.msc i körfältet => klicka Ok-knappen

Se Skärmdump:

3: Gå till Visa i menyn => bocka för Visa dolda enheter => Klicka på +Tecknet framför Icke-Plug and Play-drivrutiner

Se Skärmdump:

Leta upp nedanstående (Rödmarkerade)filer i listan

UACd

TDSSserv

UAComxjecpx

UACuwjqbouq

UACd.sys

TDSSserv.sys

UACuwjqbouq.sys

UAComxjecpx.sys

Se Skärmdump:

4: Om någon/några hittas => Högerklicka på varje fil => Välj => Egenskaper.

5: I det nya fönstret välj fliken Drivrutiner och där sätt Autostart till Inaktiverad.

6: Då du är klar med ovanstående => Starta om datorn

Gå nu vidare med proceduren jag postade i mitt ovanstående inlägg

MVH/Malou

tomorrow · April 2, 2009

Hej Malou !

Tack för ditt engagemang trots det fina vädret.

Tro det eller ej. Jag gjorde som du skrev i ditt andra inlägg och inga rödmarkerade poster fanns där.

Gick vidare till ditt första inlägg och gjorde en uppdatering av Malwarebytes' Anti-Malware 1.35

och fick Databasversion: 1933.

Utförde snabbskanning och loggen var ren !!

Kopierar in loggen nedan:

Malwarebytes' Anti-Malware 1.35

Databasversion: 1933

Windows 6.0.6001 Service Pack 1

2009-04-02 16:22:08

mbam-log-2009-04-02 (16-22-08).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 58921

Förfluten tid: 1 minute(s), 13 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

(Inga illasinnade poster hittades)

Hur har Trojan.BHO kunnat fösvinna när jag var ute och tog en promenad i det vackra vårvädret?

Om du har något svar på det är jag glad men jag är naturligtvis glad i alla fall att skiten har försvunnit.

Tack så mycket Malou !

/tomorrow

April 2, 2009

Hej tomorrow!

Varsegod och tack själv för att vi får hjälpa!

Tro det eller ej. Jag gjorde som du skrev i ditt andra inlägg och inga rödmarkerade påster fanns där.

Att de är rödmarkerade hos dig tror jag knappast att de är. Men bra att där inga fanns.

Gick vidare till ditt första inlägg och gjorde en uppdatering av Malwarebytes' Anti-Malware 1.35
och fick Databasversion: 1933

Ok vid första scanningen så hade du uppenbarligen inte uppdaterat programmet innan scanningen och då finns inte alla definitioner uppdaterade och därmed så gick det inte så bra för programmet att åtgärda det upphittade.

Men då du uppdaterade så fick du nu de nya definitioneerna och då gick det bättre => Databasversion: 1932 <=

Loggan ser ren och fin ut. Mycket bra.

Men vart tog TM HJT-loggan vägen som jag bad om?

MVH/Malou

tomorrow · April 2, 2009

Hej tomorrow!
Varsegod och tack själv för att vi får hjälpa!

Att de är rödmarkerade hos dig tror jag knappast att de är. Men bra att där inga fanns.

Ok vid första scanningen så hade du uppenbarligen inte uppdaterat programmet innan scanningen och då finns inte alla definitioner uppdaterade och därmed så gick det inte så bra för programmet att åtgärda det upphittade.

Men då du uppdaterade så fick du nu de nya definitioneerna och då gick det bättre => Databasversion: 1932 <=

Loggan ser ren och fin ut. Mycket bra.

Men vart tog TM HJT-loggan vägen som jag bad om?

MVH/Malou

Ja, den brydde jag mig inte om när jag antog att systemet var rent.

Var det helt fel?

/tomorrow

tomorrow · April 2, 2009

Hej igen Malou !

Här kommer HJT loggen

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:35:32, on 2009-04-02

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Windows\CTHELPER.EXE

C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe

C:\Program Files\CyberLink\Shared files\brs.exe

C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe

C:\Windows\SYSTEM32\CTXFISPI.EXE

C:\Windows\System32\Ctxfihlp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\spool\drivers\w32x86\3\E_FATICCE.EXE

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\NDAS\System\ndasmgmt.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\Tomorrow.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [startCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe

O4 - HKLM\..\Run: [CtxfiReg] CTXFIREG.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [DevconDefaultDB] C:\Windows\READREG /PSCONV={NO} /FAIL=1

O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"

O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"

O4 - HKLM\..\Run: [bDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe

O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [EPSON Stylus D120 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE /FU "C:\Windows\TEMP\E_S41A.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O4 - HKUS\S-1-5-18\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy' (User 'Default user')

O4 - Global Startup: NDAS Device Management.lnk = C:\Program Files\NDAS\System\ndasmgmt.exe

O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe

O13 - Gopher Prefix:

O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://downol.dr.dk/download/netradio/Rawflow.cab

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1236202123413

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Program Files\NDAS\System\ndassvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: LiveShare P2P Server 10 (RoxLiveShare10) - Unknown owner - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe (file missing)

O23 - Service: SessionLauncher - Unknown owner - C:\Users\LARS-O~1\AppData\Local\Temp\DX9\SessionLauncher.exe (file missing)

--

End of file - 7371 bytes

Hoppas att allt ser bra ut i den.

/tomorrow

April 2, 2009

Hej tomorrow!

Ja, den brydde jag mig inte om när jag antog att systemet var rent.
Var det helt fel?

Ok jag förstår. Men jag har alltid TM HJT som en utgångspunkt för att förhoppningsvis kunna se om där finns någon fil/detalj etc.. som inte har i systemet att göra eftersom den visar mer ingående än vad Malwarebytes' Anti-Malware gör som du kan se

Din TM HJT-logga ser ren och fin ut bortsett från en skräpdetalj som vi skall åtgärda.

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ Instruktionerna mycket noga

Öppna TM HJT => klicka på Do a system scan only-knappen => Bocka för nedanstående detaljer => Stäng ner Webbläsaren => klicka på Fix Checked-knappen:

O13 - Gopher Prefix:

Då du gjort ovanstående:

Gå till Start => Kör => Skriv sen i Kör fältet cleanmgr => Klicka Ok-knappen

Bocka i de här nedanstående och putsa bort dem. Kontrollera så att där inte finns bockar i övriga rutor om det finns så bocka bort dem.

Recycle Bin = Papperskorgen

Temporary Files = Temporära Filer

Temporary Internet Files = Temporära "Tillfälliga" Internetfiler

Nu:

Starta om datorn till normalläge igen:

1: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur det ser ut.

2: Berätta/Tala om hur datorn mår och om där kvarstår problem.

MVH/Malou

tomorrow · April 2, 2009

Hej tomorrow!
Ok jag förstår. Men jag har alltid TM HJT som en utgångspunkt för att förhoppningsvis kunna se om där finns någon fil/detalj etc.. som inte har i systemet att göra eftersom den visar mer ingående än vad Malwarebytes' Anti-Malware gör som du kan se

Din TM HJT-logga ser ren och fin ut bortsett från en skräpdetalj som vi skall åtgärda.

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ Instruktionerna mycket noga

Öppna TM HJT => klicka på Do a system scan only-knappen => Bocka för nedanstående detaljer => Stäng ner Webbläsaren => klicka på Fix Checked-knappen:

O13 - Gopher Prefix:

Då du gjort ovanstående:

Gå till Start => Kör => Skriv sen i Kör fältet cleanmgr => Klicka Ok-knappen

Bocka i de här nedanstående och putsa bort dem. Kontrollera så att där inte finns bockar i övriga rutor om det finns så bocka bort dem.

Recycle Bin = Papperskorgen

Temporary Files = Temporära Filer

Temporary Internet Files = Temporära "Tillfälliga" Internetfiler

Nu:

Starta om datorn till normalläge igen:

1: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur det ser ut.

2: Berätta/Tala om hur datorn mår och om där kvarstår problem.

MVH/Malou

Jag gör som du skriver :Öppna TM HJT => klicka på Do a system scan only-knappen => Bocka för nedanstående detaljer => Stäng ner Webbläsaren => klicka på Fix Checked-knappen:

Men var gör jag: Stäng ner Webbläsaren . det finns inget sådant val.

Är väl slut i huvudet.

Ja det är väl så här att jag ska stänga webbläsaren, som jag inte har öppen i den "infekterade datorn" så jag har inget att stänga sedan bocka i O13 - Gopher Prefix och sedan fix checked och däefter fortsätta enligt din guide.

Jag har webbläsaren öppen i min andra dator. Det är bekvämast så, så man inte behöver växla mellan fönstern.

/tomorrow

April 2, 2009

Men var gör jag: Stäng ner Webbläsaren . det finns inget sådant val.

Webbläsare det är väl Internet Explorer eller FireFox skulle jag tro

MVH/Malou

tomorrow · April 2, 2009

Hej igen Malou !

Vi skrev om varann.

Här kommer loggan:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:24:42, on 2009-04-02

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Windows\CTHELPER.EXE

C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe

C:\Program Files\CyberLink\Shared files\brs.exe

C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe

C:\Windows\SYSTEM32\CTXFISPI.EXE

C:\Windows\System32\Ctxfihlp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Windows\ehome\ehtray.exe

C:\Windows\System32\spool\drivers\w32x86\3\E_FATICCE.EXE

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\NDAS\System\ndasmgmt.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Windows\System32\mobsync.exe