Ich hab den vor kurzem mit Spybot - Search & Destroy zu packen bekommen.
In Spybot kann man alles sehen, was beim Systemstart geladen wird.
Im abgesicherten Modus gestartet, bei Spybot das kryptische Programm gefunden, aus dem Systemstart gelöscht und direkt danach die entsprechende Datei (Pfad wird angezeigt).
Danach konnte ich den normal wieder hochfahren, hab das Internet wieder angeschlossen, Spybot Update geladen und laufen gelassen. Anschließend noch Malwarebytes Update gezogen und auch laufen gelassen.