Ich habe jetzt zum wiederholten mal einen leeren Run-Schlüssel gelöscht.
Der wird seltsamerweise nicht von HJT gefunden, sondern von Spybot S&D (Werkzeuge|System-Start) als Schlüssel HKLM:Run. Wert und Kommandozeile fehlen.
Da lösche ich den Eintrag auch. Das erste mal ist mir der Eintrag mit msconfig aufgefallen.
Meine Vermutung ist, dass der Eintrag im eingeschränkten Benutzerkonto nicht erfolgen konnte, wegen fehlender Rechte.
Andere Ursachen?

Ich bin mir sicher, kann aber momentan nicht mit einem Screenshot dienen.
Wenn der Eintrag das nächste mal auftaucht, werde ich das aber nachholen.
Ich will mich dafür nicht extra auf dubiose Seiten begeben.

Der Eintrag war wieder da.

Und bin mir jetzt recht sicher, woher er kommt.

Erstmal habe ich geguckt, dass er nicht da ist und sämtliche Caches geleert und die Platte aufgeräumt. Dann habe ich den ATI Treiber Cat. 5.11 (mit normalem Controlcenter) installiert. Danach die neue J2SE Runtime Environment 5.0 Update 6 (Sun Java).

Danach war der Eintrag da. Beim letzen Treiberupdate (Cat. 5.9) war er auch noch nicht da. Da hatte ich auch nur den Treiber aktualisiert.
Und vor dem 26.09. hatte ich das vorletzte Java von Sun installiert. (Update 5)

Also bleibt offensichtlich nur Sun übrig. Das die gerne schnüffeln, habe ich schon vermutet, weshab ich deren Autostarteinträge nach einer Neuinstallation immer wegputze, aber mit einem Bot habe ich nicht gerechnet.

Kann aber auch eine Falschmeldung von Spybot sein, denn mit keine anderes Tool konnte etwas nachgewiesen werden.