AutoRuns, Process Explorer und Process Monitor sind hier sehr hilfreich, alle zu finden unter
www.sysinternals.com.
Vielen Dank, kenne ich aber, nutze die Tools, sind wirklich zu empfehlen. Leider liefern sie auch keine Informationen, schon geprüft.
Alle Autoruns sind sauber, alles bekannte Programme. Trotzdem gehe ich von einem Schädling aus, da die Anzeichen da sind.
Schon mal
SpyBot S&D probiert?
Manche Viren/Würmer tarnen sich durch einen Start durch svchost.exe/dllhost.exe
SpyBot S&D kenne ich vom hören sagen, werde es mal testen.
svchost.exe ist immer das erste was ich überprüfe, dllhost.exe zwar nicht, ist mir aber bisher noch nicht aufgefallen.
Mir ist gerade im gleichen Ordner eine Datei aufgefallen die ein Icon von Total Commander hat, nach dem Löschen und Neustart war sie auch wieder da. Der Inhalt ist eine CAB mit Total Commander, selbst sauber, online mit Virus Total geprüft, die neben der CAB vorhandene Install.exe ist eigentlich auch sauber, bis auf einen Fund "Virus in password protected archive", was es auch zu bedeuten hat. Kann sein, dass der so rein gekommen ist, scheint eine gecrackte Version zu sein, bin mir aber nicht wirklich sicher.
So wie ich es erkennen kann wurde Total Commander nicht über Admin installiert, sondern lokal, somit schwirrt der Schädling nur mit eingeschränkten Rechten lokal rum.