Manchmal ist es zum Verzweifeln: Ein Kunde hat sich Malware in der Form eingefangen, das Bitcoins (und/oder andere Crypto-Währungen, Namentlich „BitCoinMiner.sx“) auf seinem PC geschürft werden. G Data AntiVirus hat zwar immer wieder einen Teil des Schädlings erkannt und in die Quarantäne verschoben, das half allerdings wenig, da ein Downloader immer weider fleissig Payload nachgeschoben hat.
Den PC offline genommen, mit diversen Virenscannern durchleuchtet und alles entfernt was die Virenschutzprogramme und die eigene Erfahrung an „Müll“ gefunden hat. Es scheint, als sei das ursprüngliche Übel auch weg, aber einen Rest bekommen ich einfach nicht los:
Löscht man den „(Default)“-Eintrag bekommt man wahlweise sinngemäss ein geht nicht oder Fehler. Selbst wenn er mal verschwunden ist, taucht er nach einem „Aktualisieren“ oder Neustart von Autoruns wieder auf.
Via „regedit“ wird gar kein Wert angezeigt. Über die „reg“-Befehle der Eingabeaufforderung, via PowerShell, div. alternativen Registry-Editoren und selbst via FRED (von ct desinfect aus gestartet) bin ich nicht weitergekommen. Es wird als Wert null angezeigt, aber irgendwo muss ja irgendwas sein.
Falls jemand noch einen Tipp oder eine Idee hat, her damit!
Bemerkung am Rande: Der Screenshot wurde aus dem laufenden System heraus erstellt, die Verknüpfte Datei wurde zwischenzeitlich entfernt, so das nun bei „Image Path“ zusätzlich ein „Datei nicht gefunden…“ angezeigt wird.